AWS - EMR Privesc
EMR
Більше інформації про EMR в:
AWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
iam:PassRole
, elasticmapreduce:RunJobFlow
Зловмисник з цими дозволами може запустити новий кластер EMR, прикріплюючи ролі EC2 та намагатися вкрасти його облікові дані.
Зверніть увагу, що для цього вам потрібно знати деякий ssh приватний ключ, імпортований в обліковий запис або імпортувати один, і мати можливість відкрити порт 22 на головному вузлі (ви можете зробити це з атрибутами EmrManagedMasterSecurityGroup
та/або ServiceAccessSecurityGroup
всередині --ec2-attributes
).
Зверніть увагу, як EMR роль вказується в --service-role
, а ec2 роль вказується в --ec2-attributes
всередині InstanceProfile
. Однак ця техніка дозволяє лише вкрасти облікові дані EC2 ролі (оскільки ви підключитеся через ssh), але не EMR IAM роль.
Потенційний вплив: Privesc до EC2 сервісної ролі, що вказана.
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
З цими дозволами зловмисник може перейти до AWS консолі, створити Ноутбук і отримати доступ до нього, щоб вкрасти IAM роль.
Навіть якщо ви прикріпите IAM роль до екземпляра ноутбука, у моїх тестах я помітив, що зміг вкрасти облікові дані, керовані AWS, а не облікові дані, пов'язані з IAM роллю.
Потенційний вплив: Privesc до AWS керованої ролі arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
elasticmapreduce:OpenEditorInConsole
elasticmapreduce:OpenEditorInConsole
Лише з цим дозволом зловмисник зможе отримати доступ до Jupyter Notebook і вкрасти IAM роль, пов'язану з ним.
URL ноутбука: https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
Навіть якщо ви прикріпите IAM роль до екземпляра ноутбука, у моїх тестах я помітив, що зміг вкрасти облікові дані, керовані AWS, а не облікові дані, пов'язані з IAM роллю.
Потенційний вплив: Privesc до AWS керованої ролі arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
Last updated