AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Usuários com essas permissões podem configurar um novo endpoint de desenvolvimento AWS Glue, atribuindo um papel de serviço existente que pode ser assumido pelo Glue com permissões específicas a este endpoint.
Após a configuração, o atacante pode SSH na instância do endpoint, e roubar as credenciais IAM do papel atribuído:
Para fins de furtividade, é recomendável usar as credenciais IAM de dentro da máquina virtual Glue.
Impacto Potencial: Privesc para o papel de serviço glue especificado.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Usuários com esta permissão podem alterar a chave SSH de um endpoint de desenvolvimento Glue existente, habilitando o acesso SSH a ele. Isso permite que o atacante execute comandos com os privilégios do papel anexado ao endpoint:
Impacto Potencial: Privesc para o papel de serviço do Glue utilizado.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Usuários com iam:PassRole
combinado com glue:CreateJob
ou glue:UpdateJob
, e glue:StartJobRun
ou glue:CreateTrigger
podem criar ou atualizar um trabalho do AWS Glue, anexando qualquer conta de serviço do Glue, e iniciar a execução do trabalho. As capacidades do trabalho incluem a execução de código Python arbitrário, que pode ser explorado para estabelecer um shell reverso. Este shell reverso pode então ser utilizado para exfiltrar as credenciais IAM do papel anexado ao trabalho do Glue, levando a um potencial acesso ou ações não autorizadas com base nas permissões desse papel:
Impacto Potencial: Privesc para o papel de serviço do glue especificado.
glue:UpdateJob
glue:UpdateJob
Apenas com a permissão de atualização, um atacante poderia roubar as Credenciais IAM do papel já anexado.
Impacto Potencial: Privesc para o papel de serviço do glue anexado.
Referências
Last updated