AWS - Steal Lambda Requests

Потік Lambda

1. Slicer - це процес поза контейнером, який надсилає виклики до процесу init.

2. Процес init слухає на порту 9001, відкриваючи деякі цікаві кінцеві точки:

• /2018-06-01/runtime/invocation/next – отримати наступну подію виклику

• /2018-06-01/runtime/invocation/{invoke-id}/response – повернути відповідь обробника для виклику

• /2018-06-01/runtime/invocation/{invoke-id}/error – повернути помилку виконання

1. bootstrap.py має цикл, що отримує виклики з процесу init і викликає код користувача для їх обробки (/next).

2. Нарешті, bootstrap.py надсилає до init відповідь

Зверніть увагу, що bootstrap завантажує код користувача як модуль, тому будь-яке виконання коду, яке виконується кодом користувача, насправді відбувається в цьому процесі.

Вкрадання запитів Lambda

Мета цієї атаки - змусити код користувача виконати шкідливий процес bootstrap.py всередині процесу bootstrap.py, який обробляє вразливий запит. Таким чином, шкідливий bootstrap процес почне спілкуватися з процесом init, щоб обробляти запити, поки легітимний bootstrap буде захоплений, виконуючи шкідливий, тому він не запитуватиме запити у процесу init.

Це проста задача, оскільки код користувача виконується легітимним процесом bootstrap.py. Тому зловмисник може:

• Надіслати підроблений результат поточного виклику до процесу init, щоб init думав, що процес bootstrap чекає на більше викликів.

• Запит має бути надісланий до /${invoke-id}/response

• Виконати шкідливий boostrap.py, який оброблятиме наступні виклики

• Для цілей прихованості можливо надіслати параметри викликів lambda до C2, контрольованого зловмисником, а потім обробляти запити як зазвичай.

Кроки атаки

1. Знайти вразливість RCE.

3. Виконати шкідливий bootstrap.

Ви можете легко виконати ці дії, запустивши:

Посилання