AWS - Cloudformation Privesc
cloudformation
Für weitere Informationen zu Cloudformation siehe:
pageAWS - CloudFormation & Codestar Enumiam:PassRole, cloudformation:CreateStack
iam:PassRole, cloudformation:CreateStackEin Angreifer mit diesen Berechtigungen kann Privilegien eskalieren, indem er einen CloudFormation-Stack mit einer benutzerdefinierten Vorlage erstellt, die auf seinem Server gehostet wird, um Aktionen unter den Berechtigungen einer bestimmten Rolle auszuführen:
Auf der folgenden Seite finden Sie ein Ausbeutungsbeispiel mit der zusätzlichen Berechtigung cloudformation:DescribeStacks:
Potenzielle Auswirkungen: Privilege Escalation zum angegebenen CloudFormation-Service-Rolle.
iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)
iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)In diesem Fall können Sie einen bestehenden CloudFormation-Stack missbrauchen, um ihn zu aktualisieren und Berechtigungen zu eskalieren, wie im vorherigen Szenario:
Die Berechtigung cloudformation:SetStackPolicy kann verwendet werden, um sich selbst die Berechtigung UpdateStack über einen Stack zu geben und den Angriff durchzuführen.
Potenzielle Auswirkungen: Privilege Escalation zum angegebenen CloudFormation-Service-Rolle.
cloudformation:UpdateStack | cloudformation:SetStackPolicy
cloudformation:UpdateStack | cloudformation:SetStackPolicyWenn Sie diese Berechtigung haben, aber kein iam:PassRole, können Sie immer noch die verwendeten Stacks aktualisieren und die IAM-Rollen missbrauchen, die sie bereits angehängt haben. Überprüfen Sie den vorherigen Abschnitt auf ein Beispiel für den Exploit (geben Sie einfach keine Rolle in der Aktualisierung an).
Die Berechtigung cloudformation:SetStackPolicy kann verwendet werden, um sich selbst die Berechtigung UpdateStack über einen Stack zu geben und den Angriff durchzuführen.
Potenzielle Auswirkungen: Privilege Escalation zur bereits angehängten CloudFormation-Service-Rolle.
iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)
iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)Ein Angreifer mit Berechtigungen zum Weitergeben einer Rolle und zum Erstellen & Ausführen eines ChangeSets kann einen neuen CloudFormation-Stack erstellen/aktualisieren und die CloudFormation-Service-Rollen missbrauchen, genauso wie bei CreateStack oder UpdateStack.
Der folgende Exploit ist eine Variante des CreateStack-Exploits, bei dem die ChangeSet-Berechtigungen verwendet werden, um einen Stack zu erstellen.
Die Berechtigung cloudformation:SetStackPolicy kann verwendet werden, um sich ChangeSet-Berechtigungen zu geben und den Angriff durchzuführen.
Potenzielle Auswirkungen: Privilege Escalation zu CloudFormation-Service-Rollen.
(cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)
cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)Dies ist ähnlich wie die vorherige Methode, ohne IAM-Rollen zu übergeben, sodass Sie einfach bereits angehängte Rollen missbrauchen können, ändern Sie einfach den Parameter:
Potenzielle Auswirkungen: Privilege Escalation zum CloudFormation-Dienstrollen, die bereits angehängt sind.
iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)
iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)Ein Angreifer könnte diese Berechtigungen missbrauchen, um StackSets zu erstellen/aktualisieren und beliebige CloudFormation-Rollen zu missbrauchen.
Potenzielle Auswirkungen: Privilege Escalation zu CloudFormation-Dienstrollen.
cloudformation:UpdateStackSet
cloudformation:UpdateStackSetEin Angreifer könnte diese Berechtigung ohne die PassRole-Berechtigung missbrauchen, um StackSets zu aktualisieren und die angehängten CloudFormation-Rollen zu missbrauchen.
Potenzielle Auswirkungen: Privilege Escalation zu den angehängten CloudFormation-Rollen.
Referenzen
Last updated