AWS - EC2 Privesc
EC2
Für weitere Informationen zu EC2 siehe:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enumiam:PassRole
, ec2:RunInstances
iam:PassRole
, ec2:RunInstances
Ein Angreifer könnte eine Instanz erstellen, die eine IAM-Rolle anhängt, und dann auf die Instanz zugreifen, um die IAM-Rollenanmeldeinformationen vom Metadaten-Endpunkt zu stehlen.
Zugriff über SSH
Führen Sie eine neue Instanz mit einem erstellten SSH-Schlüssel (--key-name
) aus und greifen Sie dann über SSH darauf zu (wenn Sie einen neuen erstellen möchten, benötigen Sie möglicherweise die Berechtigung ec2:CreateKeyPair
).
Zugriff über Rev-Shell in Benutzerdaten
Sie können eine neue Instanz unter Verwendung von Benutzerdaten (--user-data
) ausführen, die Ihnen eine Rev-Shell senden werden. Auf diese Weise müssen Sie keine Sicherheitsgruppe angeben.
Seien Sie vorsichtig mit GuardDuty, wenn Sie die Anmeldeinformationen der IAM-Rolle außerhalb der Instanz verwenden:
pageAWS - GuardDuty EnumPotenzielle Auswirkungen: Direkter Privilege Escalation zu einer beliebigen EC2-Rolle, die an vorhandene Instanzprofile angehängt ist.
Privilege Escalation zu ECS
Mit diesem Satz von Berechtigungen könnten Sie auch eine EC2-Instanz erstellen und sie in einem ECS-Cluster registrieren. Auf diese Weise werden ECS-Dienste innerhalb der EC2-Instanz ausgeführt, auf die Sie Zugriff haben, und Sie können dann in diese Dienste (Docker-Container) eindringen und ihre ECS-Rollen stehlen.
Um zu lernen, wie man ECS-Dienste erzwingt, auf dieser neuen EC2-Instanz ausgeführt zu werden, überprüfen Sie:
pageAWS - ECS PrivescWenn Sie keine neue Instanz erstellen können, aber die Berechtigung ecs:RegisterContainerInstance
haben, könnten Sie die Instanz im Cluster registrieren und den kommentierten Angriff durchführen.
Mögliche Auswirkungen: Direkter Privilege Escalation zu ECS-Rollen, die an Aufgaben angehängt sind.
iam:PassRole
, iam:AddRoleToInstanceProfile
iam:PassRole
, iam:AddRoleToInstanceProfile
Ähnlich wie im vorherigen Szenario könnte ein Angreifer mit diesen Berechtigungen die IAM-Rolle einer kompromittierten Instanz ändern, um neue Anmeldeinformationen zu stehlen.
Da ein Instanzprofil nur eine Rolle haben kann, wenn das Instanzprofil bereits eine Rolle hat (üblicher Fall), benötigen Sie auch iam:RemoveRoleFromInstanceProfile
.
Wenn das Instanzprofil eine Rolle hat und der Angreifer es nicht entfernen kann, gibt es einen anderen Workaround. Er könnte ein Instanzprofil ohne Rolle finden oder ein neues erstellen (iam:CreateInstanceProfile
), die Rolle zu diesem Instanzprofil hinzufügen (wie zuvor besprochen) und das kompromittierte Instanzprofil mit einer kompromittierten Instanz verknüpfen:
Wenn die Instanz kein Instanzprofil hat (
ec2:AssociateIamInstanceProfile
) *
Potenzielle Auswirkungen: Direktes Privilege Escalation zu einer anderen EC2-Rolle (Sie müssen eine AWS EC2-Instanz kompromittiert haben und einige zusätzliche Berechtigungen oder einen spezifischen Instanzprofilstatus haben).
iam:PassRole
(( ec2:AssociateIamInstanceProfile
& ec2:DisassociateIamInstanceProfile
) || ec2:ReplaceIamInstanceProfileAssociation
)
iam:PassRole
(( ec2:AssociateIamInstanceProfile
& ec2:DisassociateIamInstanceProfile
) || ec2:ReplaceIamInstanceProfileAssociation
)Mit diesen Berechtigungen ist es möglich, das mit einer Instanz verknüpfte Instanzprofil zu ändern. Wenn der Angriff bereits Zugriff auf eine Instanz hatte, kann er Anmeldeinformationen für weitere Instanzprofilrollen stehlen, indem er das damit verbundene Profil ändert.
Wenn es ein Instanzprofil hat, können Sie das Instanzprofil entfernen (
ec2:DisassociateIamInstanceProfile
) und es verknüpfen *
oder ersetzen das Instanzprofil der kompromittierten Instanz (
ec2:ReplaceIamInstanceProfileAssociation
). *
Potenzielle Auswirkungen: Direktes Privilege Escalation zu einer anderen EC2-Rolle (Sie müssen eine AWS EC2-Instanz kompromittiert haben und einige zusätzliche Berechtigungen oder einen spezifischen Instanzprofilstatus haben).
ec2:RequestSpotInstances
,iam:PassRole
ec2:RequestSpotInstances
,iam:PassRole
Ein Angreifer mit den Berechtigungen ec2:RequestSpotInstances
und iam:PassRole
kann eine Spot-Instanz mit einer angehängten EC2-Rolle und einem Reverse-Shell in den Benutzerdaten anfordern.
Sobald die Instanz ausgeführt wird, kann er die IAM-Rolle stehlen.
ec2:ModifyInstanceAttribute
ec2:ModifyInstanceAttribute
Ein Angreifer mit der Berechtigung ec2:ModifyInstanceAttribute
kann die Attribute der Instanzen ändern. Darunter fällt auch die Möglichkeit, die Benutzerdaten zu ändern, was bedeutet, dass er die Instanz dazu bringen kann, beliebige Daten auszuführen. Dies kann genutzt werden, um eine Reverse-Shell zur EC2-Instanz zu erhalten.
Bitte beachten Sie, dass die Attribute nur geändert werden können, wenn die Instanz gestoppt ist, daher sind die Berechtigungen ec2:StopInstances
und ec2:StartInstances
erforderlich.
Potenzielle Auswirkungen: Direktes Privilegien-Eskalation zu einer beliebigen EC2 IAM-Rolle, die an einer erstellten Instanz angehängt ist.
ec2:CreateLaunchTemplateVersion
,ec2:CreateLaunchTemplate
,ec2:ModifyLaunchTemplate
ec2:CreateLaunchTemplateVersion
,ec2:CreateLaunchTemplate
,ec2:ModifyLaunchTemplate
Ein Angreifer mit den Berechtigungen ec2:CreateLaunchTemplateVersion
,ec2:CreateLaunchTemplate
und ec2:ModifyLaunchTemplate
kann eine neue Launch-Template-Version mit einem Rev-Shell im Benutzerdatenfeld erstellen und eine beliebige EC2 IAM-Rolle darauf anhängen, die Standardversion ändern und eine Autoscaler-Gruppe nutzen, die dieses Launch-Template verwendet und auf die neueste oder Standardversion eingestellt ist, um die Instanzen mit diesem Template neu zu starten und die Rev-Shell auszuführen.
Potenzielle Auswirkungen: Direkter Privilege Escalation zu einer anderen EC2-Rolle.
autoscaling:CreateLaunchConfiguration
, autoscaling:CreateAutoScalingGroup
, iam:PassRole
autoscaling:CreateLaunchConfiguration
, autoscaling:CreateAutoScalingGroup
, iam:PassRole
Ein Angreifer mit den Berechtigungen autoscaling:CreateLaunchConfiguration
,autoscaling:CreateAutoScalingGroup
,iam:PassRole
kann eine Startkonfiguration erstellen mit einer IAM-Rolle und einem Reverse-Shell im Benutzerdatenfeld, dann eine Autoscaling-Gruppe aus dieser Konfiguration erstellen und auf die Reverse-Shell warten, um die IAM-Rolle zu stehlen.
Potenzielle Auswirkungen: Direktes Privilege Escalation zu einer anderen EC2-Rolle.
!autoscaling
!autoscaling
Der Satz von Berechtigungen ec2:CreateLaunchTemplate
und autoscaling:CreateAutoScalingGroup
reichen nicht aus, um Berechtigungen auf eine IAM-Rolle zu eskalieren, da zum Anhängen der in der Startkonfiguration oder im Starttemplate angegebenen Rolle die Berechtigungen iam:PassRole
und ec2:RunInstances
erforderlich sind (was eine bekannte Privilege Escalation ist).
ec2-instance-connect:SendSSHPublicKey
ec2-instance-connect:SendSSHPublicKey
Ein Angreifer mit der Berechtigung ec2-instance-connect:SendSSHPublicKey
kann einen SSH-Schlüssel zu einem Benutzer hinzufügen und ihn verwenden, um darauf zuzugreifen (wenn er SSH-Zugriff auf die Instanz hat) oder um Berechtigungen zu eskalieren.
Potenzielle Auswirkungen: Direktes Privilegien-Eskalation zu den EC2 IAM-Rollen, die an laufende Instanzen angehängt sind.
ec2-instance-connect:SendSerialConsoleSSHPublicKey
ec2-instance-connect:SendSerialConsoleSSHPublicKey
Ein Angreifer mit der Berechtigung ec2-instance-connect:SendSerialConsoleSSHPublicKey
kann einen SSH-Schlüssel zu einer seriellen Verbindung hinzufügen. Wenn die serielle Verbindung nicht aktiviert ist, benötigt der Angreifer die Berechtigung ec2:EnableSerialConsoleAccess
, um sie zu aktivieren.
Um sich mit dem seriellen Anschluss zu verbinden, müssen Sie auch den Benutzernamen und das Passwort eines Benutzers innerhalb der Maschine kennen.
Auf diese Weise ist es nicht besonders nützlich für Privilege Escalation, da Sie einen Benutzernamen und ein Passwort kennen müssen, um sie auszunutzen.
Potenzielle Auswirkungen: (Hochgradig nicht nachweisbar) Direkte Privilege Escalation zu den EC2 IAM-Rollen, die an laufende Instanzen angehängt sind.
Referenzen
Last updated