AWS - STS Privesc

STS

sts:AssumeRole

Κάθε ρόλος δημιουργείται με μια πολιτική εμπιστοσύνης ρόλου, αυτή η πολιτική υποδεικνύει ποιος μπορεί να αναλάβει τον δημιουργημένο ρόλο. Αν ένας ρόλος από τον ίδιο λογαριασμό λέει ότι ένας λογαριασμός μπορεί να τον αναλάβει, σημαίνει ότι ο λογαριασμός θα μπορεί να έχει πρόσβαση στον ρόλο (και ενδεχομένως privesc).

Για παράδειγμα, η παρακάτω πολιτική εμπιστοσύνης ρόλου υποδεικνύει ότι οποιοσδήποτε μπορεί να τον αναλάβει, επομένως οποιοσδήποτε χρήστης θα μπορεί να privesc στις άδειες που σχετίζονται με αυτόν τον ρόλο.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

Μπορείτε να προσποιηθείτε έναν ρόλο εκτελώντας:

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

Πιθανές Επιπτώσεις: Privesc στο ρόλο.

sts:GetFederationToken

Με αυτή την άδεια είναι δυνατό να δημιουργηθούν διαπιστευτήρια για να προσποιηθεί οποιονδήποτε χρήστη:

aws sts get-federation-token --name <username>

Αυτός είναι ο τρόπος με τον οποίο αυτή η άδεια μπορεί να δοθεί με ασφάλεια χωρίς να δίνεται πρόσβαση για να προσποιούνται άλλους χρήστες:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:GetFederationToken",
"Resource": "arn:aws:sts::947247140022:federated-user/${aws:username}"
}
]
}

sts:AssumeRoleWithSAML

Μια πολιτική εμπιστοσύνης με αυτόν τον ρόλο παρέχει στους χρήστες που έχουν πιστοποιηθεί μέσω SAML πρόσβαση για να προσποιηθούν τον ρόλο.

Ένα παράδειγμα πολιτικής εμπιστοσύνης με αυτήν την άδεια είναι:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Για να δημιουργήσετε διαπιστευτήρια για να προσποιηθείτε τον ρόλο, γενικά θα μπορούσατε να χρησιμοποιήσετε κάτι όπως:

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

Αλλά οι πάροχοι μπορεί να έχουν τα δικά τους εργαλεία για να διευκολύνουν αυτό, όπως το onelogin-aws-assume-role:

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

Πιθανές Επιπτώσεις: Privesc στον ρόλο.

sts:AssumeRoleWithWebIdentity

Αυτή η άδεια παρέχει την άδεια να αποκτηθούν ένα σύνολο προσωρινών διαπιστευτηρίων ασφαλείας για χρήστες που έχουν αυθεντικοποιηθεί σε μια κινητή, διαδικτυακή εφαρμογή, EKS... με έναν πάροχο διαδικτυακής ταυτότητας. Μάθετε περισσότερα εδώ.

Για παράδειγμα, αν ένας λογαριασμός υπηρεσίας EKS θα πρέπει να μπορεί να παριστάνει έναν ρόλο IAM, θα έχει ένα διακριτικό στο /var/run/secrets/eks.amazonaws.com/serviceaccount/token και μπορεί να αναλάβει τον ρόλο και να αποκτήσει διαπιστευτήρια κάνοντας κάτι όπως:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

Κατάχρηση Ομοσπονδίας