AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Los usuarios con estos permisos pueden configurar un nuevo punto de desarrollo de AWS Glue, asignando un rol de servicio existente asumible por Glue con permisos específicos a este punto de desarrollo.
Después de la configuración, el atacante puede conectarse por SSH al instancia del punto de desarrollo, y robar las credenciales IAM del rol asignado:
Para fines de sigilo, se recomienda utilizar las credenciales IAM desde dentro de la máquina virtual de Glue.
Impacto potencial: Escalada de privilegios al rol de servicio de Glue especificado.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Los usuarios con este permiso pueden modificar un punto de conexión de desarrollo de Glue existente, cambiando la clave SSH, habilitando el acceso SSH a este. Esto permite al atacante ejecutar comandos con los privilegios del rol adjunto al punto de conexión:
Impacto Potencial: Escalada de privilegios al rol de servicio de Glue utilizado.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Los usuarios con iam:PassRole
combinado con glue:CreateJob
o glue:UpdateJob
, y ya sea glue:StartJobRun
o glue:CreateTrigger
pueden crear o actualizar un trabajo de AWS Glue, adjuntando cualquier cuenta de servicio de Glue, e iniciar la ejecución del trabajo. Las capacidades del trabajo incluyen ejecutar código Python arbitrario, que puede ser explotado para establecer un shell inverso. Este shell inverso luego se puede utilizar para extraer las credenciales IAM del rol adjunto al trabajo de Glue, lo que lleva a un posible acceso no autorizado o acciones basadas en los permisos de ese rol:
Impacto Potencial: Escalada de privilegios al rol de servicio de glue especificado.
glue:UpdateJob
glue:UpdateJob
Solo con el permiso de actualización, un atacante podría robar las Credenciales IAM del rol ya adjunto.
Impacto Potencial: Escalada de privilegios al rol de servicio de glue adjunto.
Referencias
Última actualización