AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Benutzer mit diesen Berechtigungen können einen neuen AWS Glue-Entwicklungs-Endpunkt einrichten, einer vorhandenen von Glue übernehmbaren Dienstrolle mit spezifischen Berechtigungen zu diesem Endpunkt zuweisen.
Nach dem Setup kann der Angreifer eine SSH-Verbindung zum Instanz des Endpunkts herstellen und die IAM-Anmeldeinformationen der zugewiesenen Rolle stehlen:
Zu Stealth-Zwecken wird empfohlen, die IAM-Anmeldeinformationen innerhalb der Glue-Virtual Machine zu verwenden.
Potenzielle Auswirkungen: Privilege Escalation auf die angegebene Glue-Service-Rolle.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Benutzer mit dieser Berechtigung können einen vorhandenen Glue-Entwicklungs-Endpunkt SSH-Schlüssel ändern und SSH-Zugriff darauf aktivieren. Dies ermöglicht es dem Angreifer, Befehle mit den Berechtigungen der angehängten Rolle des Endpunkts auszuführen:
Potenzielle Auswirkungen: Privilege Escalation zum verwendeten Glue-Service-Rolle.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Benutzer mit iam:PassRole
in Kombination mit entweder glue:CreateJob
oder glue:UpdateJob
, und entweder glue:StartJobRun
oder glue:CreateTrigger
können einen AWS Glue-Job erstellen oder aktualisieren, indem sie ein beliebiges Glue-Service-Konto anhängen und die Ausführung des Jobs initiieren. Die Fähigkeiten des Jobs umfassen das Ausführen beliebigen Python-Codes, der ausgenutzt werden kann, um eine Reverse-Shell herzustellen. Diese Reverse-Shell kann dann genutzt werden, um die IAM-Anmeldeinformationen der Rolle, die dem Glue-Job angehängt ist, zu exfiltrieren, was zu potenziell unbefugtem Zugriff oder Aktionen basierend auf den Berechtigungen dieser Rolle führen kann:
Potenzielle Auswirkungen: Privilege Escalation auf die angegebene Glue-Service-Rolle.
glue:UpdateJob
glue:UpdateJob
Nur mit der Update-Berechtigung könnte ein Angreifer die IAM-Anmeldeinformationen der bereits angehängten Rolle stehlen.
Potenzielle Auswirkungen: Privilege Escalation auf die angehängte Glue-Service-Rolle.
Referenzen
Last updated