AWS - Cognito Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cognitoに関する詳細情報は次を確認してください:
AWS - Cognito EnumCognitoは認証済みおよび未認証のユーザーにIAMロールの資格情報を付与できるため、アプリケーションのIdentity Pool IDを特定できれば(アプリケーションにハードコーディングされているはずです)、新しい資格情報を取得でき、したがって権限昇格が可能です(おそらく以前は資格情報を持っていなかったAWSアカウント内で)。
詳細についてはこのページを確認してください。
潜在的な影響: 未認証ユーザーに付与されたサービスロールへの直接的な権限昇格(おそらく認証済みユーザーに付与されたものにも)。
cognito-identity:SetIdentityPoolRoles
, iam:PassRole
この権限を使用すると、Cognitoアプリの認証済み/未認証ユーザーに任意のCognitoロールを付与できます。
もしCognitoアプリが未認証ユーザーを有効にしていない場合、これを有効にするためにcognito-identity:UpdateIdentityPool
の権限も必要になるかもしれません。
潜在的な影響: どのCognitoロールにも直接的な権限昇格。
cognito-identity:update-identity-pool
この権限を持つ攻撃者は、例えば自分の管理下にあるCognitoユーザープールや、ログインできる他のアイデンティティプロバイダーを設定することができます。これにより、このCognitoアイデンティティプールにアクセスする方法となります。その後、単にそのユーザープロバイダーでログインすることで、アイデンティティプールに設定された認証済みロールにアクセスできるようになります。
この権限を悪用して基本認証を許可することも可能です:
潜在的な影響: アイデンティティプール内の設定された認証済みIAMロールが侵害される。
cognito-idp:AdminAddUserToGroup
この権限はCognitoユーザーをCognitoグループに追加することを許可します。したがって、攻撃者はこの権限を悪用して、自分の管理下にあるユーザーをより良い権限や異なるIAMロールを持つ他のグループに追加することができます。
潜在的な影響: 他のCognitoグループおよびユーザープールグループに添付されたIAMロールへの権限昇格。
cognito-idp:CreateGroup
| cognito-idp:UpdateGroup
), iam:PassRole
これらの権限を持つ攻撃者は、侵害されたCognitoアイデンティティプロバイダーによって使用できるすべてのIAMロールを持つグループを作成/更新し、侵害されたユーザーをそのグループの一部にすることで、すべてのロールにアクセスできます:
潜在的な影響: 他のCognito IAMロールへの権限昇格。
cognito-idp:AdminConfirmSignUp
この権限はサインアップを確認することを許可します。デフォルトでは、誰でもCognitoアプリケーションにサインインできます。これが放置されると、ユーザーは任意のデータでアカウントを作成し、この権限でそれを確認することができます。
潜在的な影響: 新しいユーザーを登録できる場合、認証されたユーザーのためのアイデンティティプールIAMロールへの間接的な権限昇格。任意のアカウントを確認できることによる他のアプリ機能への間接的な権限昇格。
cognito-idp:AdminCreateUser
この権限により、攻撃者はユーザープール内に新しいユーザーを作成することができます。新しいユーザーは有効として作成されますが、パスワードを変更する必要があります。
潜在的な影響: 認証されたユーザーのためのアイデンティティプールIAMロールへの直接的な権限昇格。任意のユーザーを作成できる他のアプリ機能への間接的な権限昇格。
cognito-idp:AdminEnableUser
この権限は、攻撃者が無効化されたユーザーの資格情報を見つけ、そのユーザーを再度有効にする必要がある非常に限られたケースで役立ちます。
潜在的な影響: 認証されたユーザーのためのアイデンティティプールIAMロールへの間接的な権限昇格と、攻撃者が無効なユーザーの資格情報を持っている場合のユーザーの権限。
cognito-idp:AdminInitiateAuth
, cognito-idp:AdminRespondToAuthChallenge
この権限は、ADMIN_USER_PASSWORD_AUTHメソッドを使用してログインすることを許可します。 詳細についてはリンクを参照してください。
cognito-idp:AdminSetUserPassword
この権限は、攻撃者が任意のユーザーのパスワードを変更することを許可し、MFAが有効でない任意のユーザーを偽装できるようにします。
潜在的影響: 直接の権限昇格により、任意のユーザーにアクセスできる可能性があり、各ユーザーが所属するすべてのグループへのアクセスと、Identity Pool 認証済み IAM ロールへのアクセスが可能です。
cognito-idp:AdminSetUserSettings
| cognito-idp:SetUserMFAPreference
| cognito-idp:SetUserPoolMfaConfig
| cognito-idp:UpdateUserPool
AdminSetUserSettings: 攻撃者は、この権限を悪用して、自分の管理下にある携帯電話を ユーザーの SMS MFA として設定する可能性があります。
SetUserMFAPreference: 前のものと同様に、この権限はユーザーのMFA設定を変更してMFA保護を回避するために使用できます。
SetUserPoolMfaConfig: 前のものと同様に、この権限はMFA保護を回避するためにユーザープールのMFA設定を変更するために使用できます。
UpdateUserPool: ユーザープールを更新してMFAポリシーを変更することも可能です。ここでcliを確認してください。
Potential Impact: 攻撃者が認証情報を知っている任意のユーザーに対する間接的な権限昇格が可能であり、これによりMFA保護を回避できる可能性があります。
cognito-idp:AdminUpdateUserAttributes
この権限を持つ攻撃者は、自分の管理下にあるユーザーのメールアドレスや電話番号、またはその他の属性を変更して、基盤となるアプリケーションでの権限を取得しようとすることができます。 これにより、メールアドレスや電話番号を変更し、それを確認済みとして設定することができます。
潜在的な影響: Cognito User Poolを使用して、ユーザー属性に基づいて権限を付与する基盤アプリケーションにおける潜在的な間接的な権限昇格。
cognito-idp:CreateUserPoolClient
| cognito-idp:UpdateUserPoolClient
この権限を持つ攻撃者は、既存のプールクライアントよりも制限の少ない新しいUser Pool Clientを作成することができます。例えば、新しいクライアントは、あらゆる種類の方法で認証を許可し、秘密を持たず、トークンの取り消しを無効にし、トークンがより長い期間有効であることを許可することができます...
新しいクライアントを作成する代わりに、既存のクライアントを変更することでも同じことができます。
コマンドライン(または更新のもの)で、すべてのオプションを確認できます。チェックしてみてください!
潜在的な影響: ユーザープールによって使用されるアイデンティティプールの承認されたユーザーへの潜在的な間接的な権限昇格。新しいクライアントを作成することでセキュリティ対策が緩和され、攻撃者が作成したユーザーでログインすることが可能になる。
cognito-idp:CreateUserImportJob
| cognito-idp:StartUserImportJob
攻撃者はこの権限を悪用して、新しいユーザーを含むCSVをアップロードすることでユーザーを作成することができる。
(新しいインポートジョブを作成する場合、iam passrole権限も必要になるかもしれませんが、まだテストしていません)。
潜在的な影響: 認証されたユーザーのためのアイデンティティプールIAMロールへの直接的な権限昇格。任意のユーザーを作成できる他のアプリ機能への間接的な権限昇格。
cognito-idp:CreateIdentityProvider
| cognito-idp:UpdateIdentityProvider
攻撃者は新しいアイデンティティプロバイダーを作成し、このプロバイダーを通じてログインできるようになります。
潜在的な影響: 認証されたユーザーのためのアイデンティティプールIAMロールへの直接的な権限昇格。他のアプリ機能への間接的な権限昇格、任意のユーザーを作成できる。
これはCognitoアイデンティティプールのロールでデフォルトで非常に一般的な権限です。権限にワイルドカードが含まれていると常に悪い印象を与えますが(特にAWSからの場合)、与えられた権限は攻撃者の視点からはあまり有用ではありません。
この権限は、アイデンティティプール内のアイデンティティ情報とアイデンティティIDを読み取ることを許可します(これは機密情報ではありません)。 アイデンティティIDには、セッションの情報(AWSはこれをセーブされたゲームと定義しています)を持つデータセットが割り当てられている可能性があります。これには何らかの機密情報が含まれている可能性がありますが(確率はかなり低いです)、この情報にアクセスする方法は列挙ページで見つけることができます。
攻撃者はこれらの権限を使用して、これらのデータセットの変更を公開するCognitoストリームに自分を登録するか、Cognitoイベントでトリガーされるラムダを使用することもできます。これが使用されているのを見たことはありませんし、ここで機密情報が期待されることはありませんが、不可能ではありません。
Pacu、AWSのエクスプロイトフレームワークは、アカウント内のすべてのCognito資産の列挙を自動化し、弱い構成、アクセス制御に使用されるユーザー属性などをフラグ付けする「cognito__enum」と「cognito__attack」モジュールを含むようになりました。また、ユーザー作成(MFAサポートを含む)や、変更可能なカスタム属性、使用可能なアイデンティティプールの資格情報、IDトークン内の引き受け可能なロールに基づく権限昇格も自動化します。
モジュールの機能の説明については、ブログ投稿のパート2を参照してください。インストール手順については、メインのPacuページを参照してください。
特定のアイデンティティプールとユーザープールクライアントに対してユーザー作成とすべての権限昇格ベクターを試みるためのサンプルcognito__attack使用法:
Sample cognito__enum の使用例は、現在の AWS アカウントで表示されるすべてのユーザープール、ユーザープールクライアント、アイデンティティプール、ユーザーなどを収集します:
Cognito Scanner は、特権昇格を含むCognitoに対するさまざまな攻撃を実装したPythonのCLIツールです。
For more information check https://github.com/padok-team/cognito-scanner
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)