AWS - Cloudformation Privesc
cloudformation
Für weitere Informationen zu Cloudformation siehe:
pageAWS - CloudFormation & Codestar Enumiam:PassRole
, cloudformation:CreateStack
iam:PassRole
, cloudformation:CreateStack
Ein Angreifer mit diesen Berechtigungen kann Privilegien eskalieren, indem er einen CloudFormation-Stack mit einer benutzerdefinierten Vorlage erstellt, die auf seinem Server gehostet wird, um Aktionen unter den Berechtigungen einer bestimmten Rolle auszuführen:
Auf der folgenden Seite finden Sie ein Ausbeutungsbeispiel mit der zusätzlichen Berechtigung cloudformation:DescribeStacks
:
Potenzielle Auswirkungen: Privilege Escalation zum angegebenen CloudFormation-Service-Rolle.
iam:PassRole
, (cloudformation:UpdateStack
| cloudformation:SetStackPolicy
)
iam:PassRole
, (cloudformation:UpdateStack
| cloudformation:SetStackPolicy
)In diesem Fall können Sie einen bestehenden CloudFormation-Stack missbrauchen, um ihn zu aktualisieren und Berechtigungen zu eskalieren, wie im vorherigen Szenario:
Die Berechtigung cloudformation:SetStackPolicy
kann verwendet werden, um sich selbst die Berechtigung UpdateStack
über einen Stack zu geben und den Angriff durchzuführen.
Potenzielle Auswirkungen: Privilege Escalation zum angegebenen CloudFormation-Service-Rolle.
cloudformation:UpdateStack
| cloudformation:SetStackPolicy
cloudformation:UpdateStack
| cloudformation:SetStackPolicy
Wenn Sie diese Berechtigung haben, aber kein iam:PassRole
, können Sie immer noch die verwendeten Stacks aktualisieren und die IAM-Rollen missbrauchen, die sie bereits angehängt haben. Überprüfen Sie den vorherigen Abschnitt auf ein Beispiel für den Exploit (geben Sie einfach keine Rolle in der Aktualisierung an).
Die Berechtigung cloudformation:SetStackPolicy
kann verwendet werden, um sich selbst die Berechtigung UpdateStack
über einen Stack zu geben und den Angriff durchzuführen.
Potenzielle Auswirkungen: Privilege Escalation zur bereits angehängten CloudFormation-Service-Rolle.
iam:PassRole
,((cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)
iam:PassRole
,((cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)Ein Angreifer mit Berechtigungen zum Weitergeben einer Rolle und zum Erstellen & Ausführen eines ChangeSets kann einen neuen CloudFormation-Stack erstellen/aktualisieren und die CloudFormation-Service-Rollen missbrauchen, genauso wie bei CreateStack oder UpdateStack.
Der folgende Exploit ist eine Variante des CreateStack-Exploits, bei dem die ChangeSet-Berechtigungen verwendet werden, um einen Stack zu erstellen.
Die Berechtigung cloudformation:SetStackPolicy
kann verwendet werden, um sich ChangeSet
-Berechtigungen zu geben und den Angriff durchzuführen.
Potenzielle Auswirkungen: Privilege Escalation zu CloudFormation-Service-Rollen.
(cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)
cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)Dies ist ähnlich wie die vorherige Methode, ohne IAM-Rollen zu übergeben, sodass Sie einfach bereits angehängte Rollen missbrauchen können, ändern Sie einfach den Parameter:
Potenzielle Auswirkungen: Privilege Escalation zum CloudFormation-Dienstrollen, die bereits angehängt sind.
iam:PassRole
,(cloudformation:CreateStackSet
| cloudformation:UpdateStackSet
)
iam:PassRole
,(cloudformation:CreateStackSet
| cloudformation:UpdateStackSet
)Ein Angreifer könnte diese Berechtigungen missbrauchen, um StackSets zu erstellen/aktualisieren und beliebige CloudFormation-Rollen zu missbrauchen.
Potenzielle Auswirkungen: Privilege Escalation zu CloudFormation-Dienstrollen.
cloudformation:UpdateStackSet
cloudformation:UpdateStackSet
Ein Angreifer könnte diese Berechtigung ohne die PassRole
-Berechtigung missbrauchen, um StackSets zu aktualisieren und die angehängten CloudFormation-Rollen zu missbrauchen.
Potenzielle Auswirkungen: Privilege Escalation zu den angehängten CloudFormation-Rollen.
Referenzen
Last updated