AWS - Codepipeline Privesc

codepipeline

Vir meer inligting oor codepipeline kyk:

iam:PassRole, codepipeline:CreatePipeline, codebuild:CreateProject, codepipeline:StartPipelineExecution

Wanneer jy 'n code pipeline skep, kan jy 'n codepipeline IAM Rol om te loop aandui, daarom kan jy hulle kompromenteer.

Behalwe vir die vorige toestemmings, sal jy toegang tot die plek waar die kode gestoor word benodig (S3, ECR, github, bitbucket...)

Ek het dit getoets deur die proses op die webblad te doen, die toestemmings wat voorheen aangedui is, is nie die Lys/Kry een wat benodig word om 'n codepipeline te skep nie, maar om dit op die web te skep, sal jy ook nodig hê: codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:<several>

Tydens die skepping van die bouprojek kan jy 'n opdrag om te loop aandui (rev shell?) en om die boufase as bevoorregte gebruiker te laat loop, dit is die konfigurasie wat die aanvaller benodig om te kompromenteer:

?codebuild:UpdateProject, codepipeline:UpdatePipeline, codepipeline:StartPipelineExecution

Dit mag moontlik wees om die rol wat gebruik word en die opdrag wat op 'n codepipeline uitgevoer word, met die vorige toestemmings te wysig.

codepipeline:pollforjobs

AWS noem:

Wanneer hierdie API aangeroep word, gee CodePipeline tydelike geloofsbriewe vir die S3-bucket wat gebruik word om artefakte vir die pipeline te stoor, indien die aksie toegang tot daardie S3-bucket vir invoer of uitvoer artefakte benodig. Hierdie API gee ook enige geheime waardes wat vir die aksie gedefinieer is terug.