AWS - EMR Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Más info sobre EMR en:
AWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
Un atacante con estos permisos puede ejecutar un nuevo clúster EMR adjuntando roles de EC2 e intentar robar sus credenciales.
Ten en cuenta que para hacer esto necesitarías conocer alguna clave privada ssh importada en la cuenta o importar una, y poder abrir el puerto 22 en el nodo maestro (puedes hacer esto con los atributos EmrManagedMasterSecurityGroup
y/o ServiceAccessSecurityGroup
dentro de --ec2-attributes
).
Note cómo un rol EMR se especifica en --service-role
y un rol ec2 se especifica en --ec2-attributes
dentro de InstanceProfile
. Sin embargo, esta técnica solo permite robar las credenciales del rol EC2 (ya que te conectarás a través de ssh) pero no el Rol IAM de EMR.
Impacto Potencial: Privesc al rol de servicio EC2 especificado.
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
Con estos permisos, un atacante puede ir a la consola de AWS, crear un Notebook y acceder a él para robar el Rol IAM.
Incluso si adjuntas un rol IAM a la instancia del notebook, en mis pruebas noté que pude robar credenciales gestionadas por AWS y no credenciales relacionadas con el rol IAM.
Impacto Potencial: Privesc al rol gestionado por AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
elasticmapreduce:OpenEditorInConsole
Solo con este permiso, un atacante podrá acceder al Jupyter Notebook y robar el rol IAM asociado a él.
La URL del notebook es https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
Incluso si adjuntas un rol IAM a la instancia del notebook, en mis pruebas noté que pude robar credenciales gestionadas por AWS y no credenciales relacionadas con el rol IAM.
Impacto Potencial: Privesc al rol gestionado por AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)