AWS - EFS Privesc
EFS
Mehr Infos über EFS in:
AWS - EFS EnumDenke daran, dass du, um ein EFS zu mounten, in einem Subnetz sein musst, in dem das EFS exponiert ist und Zugang dazu haben musst (Sicherheitsgruppen). Wenn dies der Fall ist, kannst du es standardmäßig immer mounten. Wenn es jedoch durch IAM-Richtlinien geschützt ist, benötigst du die hier genannten zusätzlichen Berechtigungen, um darauf zuzugreifen.
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
Mit einer dieser Berechtigungen kann ein Angreifer die Dateisystemrichtlinie ändern, um dir Zugang zu gewähren oder sie einfach zu löschen, sodass der Standardzugang gewährt wird.
Um die Richtlinie zu löschen:
Um es zu ändern:
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
Mit dieser Berechtigung kann ein Angreifer das EFS einbinden. Wenn die Schreibberechtigung standardmäßig nicht allen gewährt wird, die das EFS einbinden können, hat er nur Lesezugriff.
Die zusätzlichen Berechtigungen elasticfilesystem:ClientRootAccess
und elasticfilesystem:ClientWrite
können verwendet werden, um in das Dateisystem zu schreiben, nachdem es gemountet wurde, und um auf dieses Dateisystem als root zu zugreifen.
Potenzielle Auswirkungen: Indirekte Privilegieneskalation durch das Auffinden sensibler Informationen im Dateisystem.
elasticfilesystem:CreateMountTarget
elasticfilesystem:CreateMountTarget
Wenn ein Angreifer sich in einem Subnetz befindet, in dem kein Mount-Ziel des EFS existiert, könnte er einfach eins in seinem Subnetz erstellen mit diesem Privileg:
Potenzielle Auswirkungen: Indirekte Privilegieneskalation durch Auffinden sensibler Informationen im Dateisystem.
elasticfilesystem:ModifyMountTargetSecurityGroups
elasticfilesystem:ModifyMountTargetSecurityGroups
In einem Szenario, in dem ein Angreifer feststellt, dass das EFS einen Mount-Ziel in seinem Subnetz hat, aber keine Sicherheitsgruppe den Verkehr erlaubt, könnte er einfach das ändern, indem er die ausgewählten Sicherheitsgruppen modifiziert:
Potenzielle Auswirkungen: Indirekte Privilegieneskalation durch Auffinden sensibler Informationen im Dateisystem.
Last updated