AWS - Lambda Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ulteriori informazioni su lambda in:
iam:PassRole
, lambda:CreateFunction
, (lambda:InvokeFunction
| lambda:InvokeFunctionUrl
)Gli utenti con i permessi iam:PassRole
, lambda:CreateFunction
e lambda:InvokeFunction
possono elevare i loro privilegi.
Possono creare una nuova funzione Lambda e assegnarle un ruolo IAM esistente, concedendo alla funzione i permessi associati a quel ruolo. L'utente può quindi scrivere e caricare codice su questa funzione Lambda (con una rev shell, ad esempio).
Una volta configurata la funzione, l'utente può attivare la sua esecuzione e le azioni previste invocando la funzione Lambda tramite l'API AWS. Questo approccio consente all'utente di eseguire compiti indirettamente attraverso la funzione Lambda, operando con il livello di accesso concesso al ruolo IAM associato ad essa.\
Un attaccante potrebbe abusare di questo per ottenere una rev shell e rubare il token:
Puoi anche abusare dei permessi del ruolo lambda dalla funzione lambda stessa. Se il ruolo lambda avesse abbastanza permessi, potresti usarlo per concederti diritti di amministratore:
È anche possibile leakare le credenziali del ruolo della lambda senza necessitare di una connessione esterna. Questo sarebbe utile per Lambdas isolate dalla rete utilizzate in compiti interni. Se ci sono gruppi di sicurezza sconosciuti che filtrano le tue reverse shell, questo pezzo di codice ti permetterà di leakare direttamente le credenziali come output della lambda.
Impatto Potenziale: Privesc diretto al ruolo di servizio lambda arbitrario specificato.
Nota che anche se potrebbe sembrare interessante lambda:InvokeAsync
non consente da solo di eseguire aws lambda invoke-async
, hai anche bisogno di lambda:InvokeFunction
iam:PassRole
, lambda:CreateFunction
, lambda:AddPermission
Come nel scenario precedente, puoi concederti il permesso lambda:InvokeFunction
se hai il permesso lambda:AddPermission
Impatto Potenziale: Privesc diretto al ruolo di servizio lambda arbitrario specificato.
iam:PassRole
, lambda:CreateFunction
, lambda:CreateEventSourceMapping
Gli utenti con i permessi iam:PassRole
, lambda:CreateFunction
e lambda:CreateEventSourceMapping
(e potenzialmente dynamodb:PutItem
e dynamodb:CreateTable
) possono indirettamente escalare i privilegi anche senza lambda:InvokeFunction
.
Possono creare una funzione Lambda con codice malevolo e assegnarle un ruolo IAM esistente.
Invece di invocare direttamente la Lambda, l'utente configura o utilizza una tabella DynamoDB esistente, collegandola alla Lambda tramite una mappatura della sorgente evento. Questa configurazione garantisce che la funzione Lambda venga attivata automaticamente all'inserimento di un nuovo elemento nella tabella, sia per azione dell'utente che per un altro processo, attivando così indirettamente la funzione Lambda ed eseguendo il codice con i permessi del ruolo IAM passato.
Se DynamoDB è già attivo nell'ambiente AWS, l'utente deve solo stabilire il mapping della sorgente eventi per la funzione Lambda. Tuttavia, se DynamoDB non è in uso, l'utente deve creare una nuova tabella con lo streaming abilitato:
Ora è possibile collegare la funzione Lambda alla tabella DynamoDB creando una mappatura della sorgente evento:
Con la funzione Lambda collegata al flusso DynamoDB, l'attaccante può attivare indirettamente la Lambda attivando il flusso DynamoDB. Questo può essere realizzato inserendo un elemento nella tabella DynamoDB:
Impatto Potenziale: Privesc diretto al ruolo di servizio lambda specificato.
lambda:AddPermission
Un attaccante con questo permesso può concedere a se stesso (o ad altri) qualsiasi permesso (questo genera politiche basate sulle risorse per concedere accesso alla risorsa):
Impatto Potenziale: Privesc diretto al ruolo del servizio lambda utilizzato concedendo il permesso di modificare il codice e eseguirlo.
lambda:AddLayerVersionPermission
Un attaccante con questo permesso può concedere a se stesso (o ad altri) il permesso lambda:GetLayerVersion
. Potrebbe accedere al layer e cercare vulnerabilità o informazioni sensibili.
Impatto Potenziale: Accesso potenziale a informazioni sensibili.
lambda:UpdateFunctionCode
Gli utenti che possiedono il permesso lambda:UpdateFunctionCode
hanno il potenziale di modificare il codice di una funzione Lambda esistente collegata a un ruolo IAM.
L'attaccante può modificare il codice della lambda per esfiltrare le credenziali IAM.
Sebbene l'attaccante potrebbe non avere la capacità diretta di invocare la funzione, se la funzione Lambda è preesistente e operativa, è probabile che venga attivata attraverso flussi di lavoro o eventi esistenti, facilitando così indirettamente l'esecuzione del codice modificato.
Impatto Potenziale: Privesc diretto al ruolo di servizio lambda utilizzato.
lambda:UpdateFunctionConfiguration
Con questi permessi è possibile aggiungere variabili d'ambiente che causeranno l'esecuzione di codice arbitrario da parte della Lambda. Ad esempio, in python è possibile abusare delle variabili d'ambiente PYTHONWARNING
e BROWSER
per far eseguire a un processo python comandi arbitrari:
Per altri linguaggi di scripting ci sono altre variabili d'ambiente che puoi utilizzare. Per ulteriori informazioni controlla le sottosezioni dei linguaggi di scripting in:
Lambda Layers consente di includere codice nella tua funzione lambda ma memorizzandolo separatamente, in modo che il codice della funzione possa rimanere piccolo e diverse funzioni possano condividere codice.
All'interno di lambda puoi controllare i percorsi da cui viene caricato il codice python con una funzione come la seguente:
Questi sono i luoghi:
/var/task
/opt/python/lib/python3.7/site-packages
/opt/python
/var/runtime
/var/lang/lib/python37.zip
/var/lang/lib/python3.7
/var/lang/lib/python3.7/lib-dynload
/var/lang/lib/python3.7/site-packages
/opt/python/lib/python3.7/site-packages
/opt/python
Ad esempio, la libreria boto3 è caricata da /var/runtime/boto3
(4ª posizione).
È possibile abusare del permesso lambda:UpdateFunctionConfiguration
per aggiungere un nuovo layer a una funzione lambda. Per eseguire codice arbitrario, questo layer deve contenere qualche libreria che la lambda andrà a importare. Se puoi leggere il codice della lambda, potresti trovarlo facilmente, nota anche che potrebbe essere possibile che la lambda stia già utilizzando un layer e potresti scaricare il layer e aggiungere il tuo codice lì dentro.
Ad esempio, supponiamo che la lambda stia utilizzando la libreria boto3, questo creerà un layer locale con l'ultima versione della libreria:
Puoi aprire ./lambda_layer/boto3/__init__.py
e aggiungere la backdoor nel codice globale (una funzione per esfiltrare credenziali o ottenere una reverse shell, ad esempio).
Poi, comprimi quella directory ./lambda_layer
e carica il nuovo layer lambda nel tuo account (o in quello della vittima, ma potresti non avere i permessi per farlo).
Nota che devi creare una cartella python e mettere le librerie lì per sovrascrivere /opt/python/boto3. Inoltre, il layer deve essere compatibile con la versione di python utilizzata dalla lambda e se lo carichi nel tuo account, deve essere nella stessa regione:
Ora, rendi il layer lambda caricato accessibile da qualsiasi account:
E allega il layer lambda alla funzione lambda della vittima:
Il passo successivo sarebbe invocare la funzione noi stessi se possiamo o aspettare che venga invocata con mezzi normali, che è il metodo più sicuro.
Un modo più furtivo per sfruttare questa vulnerabilità può essere trovato in:
Impatto Potenziale: Privesc diretto al ruolo di servizio lambda utilizzato.
iam:PassRole
, lambda:CreateFunction
, lambda:CreateFunctionUrlConfig
, lambda:InvokeFunctionUrl
Forse con quei permessi sei in grado di creare una funzione ed eseguirla chiamando l'URL... ma non sono riuscito a trovare un modo per testarlo, quindi fammi sapere se lo fai!
Alcuni lambda riceveranno informazioni sensibili dagli utenti nei parametri. Se ottieni RCE in uno di essi, puoi esfiltrare le informazioni che altri utenti stanno inviando, controlla qui:
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)