AWS - STS Privesc

STS

sts:AssumeRole

Her rol, rol güven politikası ile oluşturulur, bu politika oluşturulan rolü kimin üstlenebileceğini belirtir. Eğer aynı hesap içindeki bir rol, bir hesabın onu üstlenebileceğini söylüyorsa, bu, o hesabın role erişebileceği (ve potansiyel olarak privesc yapabileceği) anlamına gelir.

Örneğin, aşağıdaki rol güven politikası, herkesin onu üstlenebileceğini belirtir, bu nedenle herhangi bir kullanıcı, o rolle ilişkili izinlere privesc yapabilecektir.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

Bir rolü taklit edebilirsiniz:

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

Potansiyel Etki: Role'e privesc.

sts:GetFederationToken

Bu izinle, herhangi bir kullanıcıyı taklit etmek için kimlik bilgileri oluşturmak mümkündür:

aws sts get-federation-token --name <username>

Bu izin, diğer kullanıcıları taklit etme erişimi vermeden güvenli bir şekilde nasıl verilebilir:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:GetFederationToken",
"Resource": "arn:aws:sts::947247140022:federated-user/${aws:username}"
}
]
}

sts:AssumeRoleWithSAML

Bu rol ile bir güven politikası, SAML aracılığıyla kimlik doğrulaması yapılmış kullanıcılara rolü taklit etme erişimi verir.

Bu izne sahip bir güven politikası örneği:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Genel olarak rolü taklit etmek için kimlik bilgileri oluşturmak için şunları kullanabilirsiniz:

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

Ama sağlayıcılar bunu kolaylaştırmak için kendi araçlarına sahip olabilir, örneğin onelogin-aws-assume-role:

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

Olası Etki: Role yükselme.

sts:AssumeRoleWithWebIdentity

Bu izin, mobil, web uygulaması, EKS... içinde bir web kimlik sağlayıcısı ile kimlik doğrulaması yapılmış kullanıcılar için geçici güvenlik kimlik bilgileri seti alma izni verir. Daha fazla bilgi edinin.

Örneğin, eğer bir EKS hizmet hesabı bir IAM rolünü taklit edebilmesi gerekiyorsa, /var/run/secrets/eks.amazonaws.com/serviceaccount/token içinde bir token'a sahip olacak ve rolü üstlenip kimlik bilgilerini alabilir şöyle bir şey yaparak:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

Federasyon İstismarı