Lambda

Amazon Web Services (AWS) Lambda se describe como un servicio de cómputo que permite la ejecución de código sin la necesidad de aprovisionamiento o gestión de servidores. Se caracteriza por su capacidad para manejar automáticamente la asignación de recursos necesarios para la ejecución de código, garantizando características como alta disponibilidad, escalabilidad y seguridad. Un aspecto significativo de Lambda es su modelo de precios, donde los cargos se basan únicamente en el tiempo de cómputo utilizado, eliminando la necesidad de inversiones iniciales u obligaciones a largo plazo.

Para llamar a una lambda es posible hacerlo tan frecuentemente como desees (con Cloudwatch), exponer un punto final de URL y llamarlo, llamarlo a través de API Gateway o incluso basado en eventos como cambios en datos en un cubo de S3 o actualizaciones en una tabla de DynamoDB.

El código de una lambda se almacena en /var/task.

Pesos de Alias de Lambda

Una Lambda puede tener varias versiones. Y puede tener más de 1 versión expuesta a través de alias. Los pesos de cada una de las versiones expuestas dentro de un alias decidirán qué alias recibe la invocación (puede ser 90%-10% por ejemplo). Si el código de uno de los alias es vulnerable, puedes enviar solicitudes hasta que la versión vulnerable reciba el exploit.

Políticas de Recursos de Lambda

Las políticas de recursos de Lambda permiten dar acceso a otros servicios/cuentas para invocar la lambda, por ejemplo. Por ejemplo, esta es la política para permitir que cualquiera acceda a una lambda expuesta a través de una URL:

O esto para permitir que un API Gateway lo invoque:

Proxies de Base de Datos de Lambda

Cuando hay cientos de solicitudes lambda concurrentes, si cada una de ellas necesita conectar y cerrar una conexión a una base de datos, simplemente no funcionará (las lambdas son sin estado, no pueden mantener conexiones abiertas). Entonces, si tus funciones Lambda interactúan con RDS Proxy en lugar de tu instancia de base de datos, maneja el agrupamiento de conexiones necesario para escalar muchas conexiones simultáneas creadas por funciones Lambda concurrentes. Esto permite que tus aplicaciones Lambda reutilicen conexiones existentes, en lugar de crear nuevas conexiones para cada invocación de función.

Sistemas de Archivos EFS de Lambda

Para preservar e incluso compartir datos, las Lambdas pueden acceder a EFS y montarlos, de modo que Lambda pueda leer y escribir desde él.

Capas de Lambda

Una capa de Lambda es un archivo .zip que puede contener código adicional u otro contenido. Una capa puede contener bibliotecas, un tiempo de ejecución personalizado, datos o archivos de configuración.

Es posible incluir hasta cinco capas por función. Cuando incluyes una capa en una función, los contenidos se extraen al directorio /opt en el entorno de ejecución.

Por defecto, las capas que creas son privadas para tu cuenta de AWS. Puedes optar por compartir una capa con otras cuentas o hacer la capa pública. Si tus funciones consumen una capa que publicó una cuenta diferente, tus funciones pueden seguir utilizando la versión de la capa después de que se haya eliminado, o después de que se haya revocado tu permiso para acceder a la capa. Sin embargo, no puedes crear una nueva función o actualizar funciones utilizando una versión de capa eliminada.

Las funciones implementadas como una imagen de contenedor no utilizan capas. En su lugar, empaquetas tu tiempo de ejecución preferido, bibliotecas y otras dependencias en la imagen del contenedor cuando construyes la imagen.

Extensiones de Lambda

Las extensiones de Lambda mejoran las funciones integrándose con varias herramientas de monitoreo, observabilidad, seguridad y gobernanza. Estas extensiones, agregadas a través de .archivos zip usando capas de Lambda o incluidas en implementaciones de imágenes de contenedores, operan en dos modos: internos y externos.

• Las extensiones internas se fusionan con el proceso de tiempo de ejecución, manipulando su inicio utilizando variables de entorno específicas del lenguaje y scripts envolventes. Esta personalización se aplica a una variedad de tiempos de ejecución, incluidos Java Correto 8 y 11, Node.js 10 y 12, y .NET Core 3.1.

• Las extensiones externas se ejecutan como procesos separados, manteniendo la alineación de operación con el ciclo de vida de la función Lambda. Son compatibles con varios tiempos de ejecución como Node.js 10 y 12, Python 3.7 y 3.8, Ruby 2.5 y 2.7, Java Corretto 8 y 11, .NET Core 3.1, y tiempos de ejecución personalizados.

Enumeración

aws lambda get-account-settings

# List functions and get extra config info
aws lambda list-functions
aws lambda get-function --function-name <function_name>
aws lambda get-function-configuration --function-name <function_name>
aws lambda list-function-event-invoke-configs --function-name <function_name>
## Check for creds in env vars
aws lambda list-functions | jq '.Functions[].Environment'
## Download & check the source code
aws lambda get-function --function-name "<func_name>" --query 'Code.Location'
wget -O lambda-function.zip <url-from-previous-query>

# Get Lambda URL (if any)
aws lambda list-function-url-configs --function-name <function_name>
aws lambda get-function-url-config --function-name <function_name>

# Get who has permissions to invoke the Lambda
aws lambda get-policy --function-name <function_name>

# Versions and Aliases
aws lambda list-versions-by-function --function-name <func_name>
aws lambda list-aliases --function-name <func_name>

# List layers
aws lambda list-layers
aws lambda list-layer-versions --layer-name <name>
aws lambda get-layer-version --layer-name <name> --version-number <ver>
aws lambda get-layer-version-by-arn --arn <name> #Get external ARNs

# List other metadata
aws lambda list-event-source-mappings
aws lambda list-code-signing-configs
aws lambda list-functions-by-code-signing-config --code-signing-config-arn <arn>

Invocar una lambda

Manual

# Invoke function
aws lambda invoke --function-name FUNCTION_NAME /tmp/out
## Some functions will expect parameters, they will access them with something like:
## target_policys = event['policy_names']
## user_name = event['user_name']
aws lambda invoke --function-name <name> --cli-binary-format raw-in-base64-out --payload '{"policy_names": ["AdministratorAccess], "user_name": "sdf"}' out.txt

A través de una URL expuesta

aws lambda list-function-url-configs --function-name <function_name> #Get lambda URL
aws lambda get-function-url-config   --function-name <function_name> #Get lambda URL

Llamar a la función Lambda a través de una URL

Ahora es el momento de descubrir las posibles funciones lambda para ejecutar:

aws --region us-west-2 --profile level6 lambda list-functions

Una función lambda llamada "Level6" está disponible. Vamos a averiguar cómo llamarla:

aws --region us-west-2 --profile level6 lambda get-policy --function-name Level6

Ahora que conoces el nombre y el ID, puedes obtener el Nombre:

aws --profile level6 --region us-west-2 apigateway get-stages --rest-api-id "s33ppypa75"

Y finalmente llame a la función accediendo (note que el ID, Nombre y nombre de la función aparecen en la URL): https://s33ppypa75.execute-api.us-west-2.amazonaws.com/Prod/level6

URL:https://<rest-api-id>.execute-api.<region>.amazonaws.com/<stageName>/<funcName>

Otros Disparadores

Hay muchas otras fuentes que pueden activar una lambda

Escalada de Privilegios

En la siguiente página puedes verificar cómo abusar de los permisos de Lambda para escalar privilegios:

Acceso No Autenticado

Post Explotación

Persistencia

Referencias

• https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-concepts.html#gettingstarted-concepts-layer

• https://aws.amazon.com/blogs/compute/building-extensions-for-aws-lambda-in-preview/