AWS Codebuild - Token Leakage
Recuperar Tokens Configurados de Github/Bitbucket
Primero, verifica si hay credenciales de origen configuradas que podrías filtrar:
Via Docker Image
Si encuentras que la autenticación, por ejemplo, a Github está configurada en la cuenta, puedes exfiltrar ese acceso (token de GH o token de OAuth) haciendo que Codebuild utilice una imagen de docker específica para ejecutar la construcción del proyecto.
Para este propósito, podrías crear un nuevo proyecto de Codebuild o cambiar el entorno de uno existente para establecer la imagen de Docker.
La imagen de Docker que podrías usar es https://github.com/carlospolop/docker-mitm. Esta es una imagen de Docker muy básica que establecerá las variables de entorno https_proxy
, http_proxy
y SSL_CERT_FILE
. Esto te permitirá interceptar la mayor parte del tráfico del host indicado en https_proxy
y http_proxy
y confiar en el CERT SSL indicado en SSL_CERT_FILE
.
Crea y sube tu propia imagen de Docker MitM
Sigue las instrucciones del repositorio para establecer tu dirección IP de proxy y configurar tu certificado SSL y construir la imagen de docker.
NO CONFIGURES
http_proxy
para no interceptar solicitudes al endpoint de metadatos.Podrías usar
ngrok
comongrok tcp 4444
para establecer el proxy en tu host.Una vez que tengas la imagen de Docker construida, cárgala en un repositorio público (Dockerhub, ECR...)
Configura el entorno
Crea un nuevo proyecto de Codebuild o modifica el entorno de uno existente.
Configura el proyecto para usar la imagen de Docker generada previamente.
Configura el proxy MitM en tu host
Como se indica en el repositorio de Github, podrías usar algo como:
La versión de mitmproxy utilizada fue 9.0.1, se informó que con la versión 10 esto podría no funcionar.
Ejecutar la construcción y capturar las credenciales
Puedes ver el token en el encabezado de Authorization:
Esto también se podría hacer desde la aws cli con algo como
A través del protocolo HTTP
Esta vulnerabilidad fue corregida por AWS en algún momento de la semana del 20 de febrero de 2023 (creo que el viernes). Así que un atacante ya no puede abusar de ella :)
Un atacante con permisos elevados en un CodeBuild podría filtrar el token de Github/Bitbucket configurado o si los permisos se configuraron a través de OAuth, el token temporal de OAuth utilizado para acceder al código.
Un atacante podría agregar las variables de entorno http_proxy y https_proxy al proyecto de CodeBuild apuntando a su máquina (por ejemplo
http://5.tcp.eu.ngrok.io:14972
).
Luego, cambiar la URL del repositorio de github para usar HTTP en lugar de HTTPS, por ejemplo: **http://**github.com/carlospolop-forks/TestActions
Luego, ejecutar el ejemplo básico de https://github.com/synchronizing/mitm en el puerto señalado por las variables de proxy (http_proxy y https_proxy)
Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm:
Ahora un atacante podrá usar el token desde su máquina, listar todos los privilegios que tiene y (ab)usar más fácilmente que usando el servicio CodeBuild directamente.
Last updated