AWS - Abusing Lambda Extensions

Extensões Lambda

As extensões Lambda aprimoram funções integrando-se a várias ferramentas de monitoramento, observabilidade, segurança e governança. Essas extensões, adicionadas via .zip archives usando camadas Lambda ou incluídas em implantações de imagem de contêiner, operam em dois modos: interno e externo.

• Extensões internas se fundem com o processo de tempo de execução, manipulando sua inicialização usando variáveis de ambiente específicas de linguagem e scripts de wrapper. Essa personalização se aplica a uma variedade de tempos de execução, incluindo Java Correto 8 e 11, Node.js 10 e 12, e .NET Core 3.1.

• Extensões externas são executadas como processos separados, mantendo a alinhamento de operação com o ciclo de vida da função Lambda. Elas são compatíveis com vários tempos de execução, como Node.js 10 e 12, Python 3.7 e 3.8, Ruby 2.5 e 2.7, Java Corretto 8 e 11, .NET Core 3.1, e tempos de execução personalizados.

Para mais informações sobre como as extensões lambda funcionam, consulte a documentação.

Extensão Externa para Persistência, Roubo de Solicitações e Modificação de Solicitações

Este é um resumo da técnica proposta neste post: https://www.clearvector.com/blog/lambda-spy/

Foi descoberto que o kernel Linux padrão no ambiente de execução Lambda é compilado com chamadas de sistema “process_vm_readv” e “process_vm_writev”. E todos os processos são executados com o mesmo ID de usuário, mesmo o novo processo criado para a extensão externa. Isso significa que uma extensão externa tem acesso total de leitura e gravação à memória heap do Rapid, por design.

Além disso, enquanto as extensões Lambda têm a capacidade de se inscrever em eventos de invocação, a AWS não revela os dados brutos para essas extensões. Isso garante que as extensões não podem acessar informações sensíveis transmitidas via a solicitação HTTP.

O processo Init (Rapid) monitora todas as solicitações de API em http://127.0.0.1:9001 enquanto as extensões Lambda são inicializadas e executadas antes da execução de qualquer código de tempo de execução, mas após o Rapid.

A variável AWS_LAMBDA_RUNTIME_API indica o IP e o número da porta da API Rapid para processos de tempo de execução filhos e extensões adicionais.

Como as extensões são executadas antes de qualquer código de tempo de execução, modificar a variável de ambiente influenciará o processo de tempo de execução (por exemplo, Python, Java, Node, Ruby) à medida que ele inicia. Além disso, extensões carregadas após a nossa, que dependem dessa variável, também passarão pela nossa extensão. Essa configuração poderia permitir que malware contornasse completamente as medidas de segurança ou extensões de registro diretamente dentro do ambiente de tempo de execução.

A ferramenta lambda-spy foi criada para realizar essa gravação de memória e roubar informações sensíveis de solicitações lambda, outras solicitações de extensões e até mesmo modificá-las.

Referências

• https://aws.amazon.com/blogs/compute/building-extensions-for-aws-lambda-in-preview/

• https://www.clearvector.com/blog/lambda-spy/