AWS - EMR Privesc
EMR
Weitere Informationen zu EMR unter:
pageAWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
iam:PassRole
, elasticmapreduce:RunJobFlow
Ein Angreifer mit diesen Berechtigungen kann einen neuen EMR-Cluster ausführen, der EC2-Rollen anhängt, und versuchen, deren Anmeldeinformationen zu stehlen.
Beachten Sie, dass Sie hierfür einen SSH-Privatkey kennen müssen, der im Konto importiert ist, oder einen importieren müssen, und in der Lage sein müssen, Port 22 im Masterknoten zu öffnen (dies könnte mit den Attributen EmrManagedMasterSecurityGroup
und/oder ServiceAccessSecurityGroup
innerhalb von --ec2-attributes
möglich sein).
Hinweis, wie eine EMR-Rolle in --service-role
und eine ec2-Rolle in --ec2-attributes
innerhalb von InstanceProfile
angegeben ist. Diese Technik ermöglicht jedoch nur das Stehlen der EC2-Rollenanmeldeinformationen (da Sie über SSH eine Verbindung herstellen), nicht jedoch der EMR-IAM-Rolle.
Potenzielle Auswirkungen: Privilege Escalation zur spezifizierten EC2-Service-Rolle.
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
Mit diesen Berechtigungen kann ein Angreifer zur AWS-Konsole gehen, ein Notizbuch erstellen und darauf zugreifen, um die IAM-Rolle zu stehlen.
Auch wenn Sie eine IAM-Rolle an die Notizbuchinstanz anhängen, habe ich in meinen Tests festgestellt, dass ich in der Lage war, AWS-Verwaltungsanmeldeinformationen zu stehlen und nicht Anmeldeinformationen, die sich auf die IAM-Rolle beziehen.
Potenzielle Auswirkungen: Privilege Escalation zur AWS-verwalteten Rolle arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
elasticmapreduce:OpenEditorInConsole
elasticmapreduce:OpenEditorInConsole
Nur mit dieser Berechtigung kann ein Angreifer auf das Jupyter Notebook zugreifen und die damit verbundene IAM-Rolle stehlen.
Die URL des Notizbuchs lautet https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
Auch wenn Sie eine IAM-Rolle an die Notizbuchinstanz anhängen, habe ich in meinen Tests festgestellt, dass ich in der Lage war, AWS-Verwaltungsanmeldeinformationen zu stehlen und nicht Anmeldeinformationen, die sich auf die IAM-Rolle beziehen`.
Potenzielle Auswirkungen: Privilege Escalation zur AWS-verwalteten Rolle arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
Last updated