codepipeline

Pour plus d'informations sur codepipeline, consultez :

iam:PassRole, codepipeline:CreatePipeline, codebuild:CreateProject, codepipeline:StartPipelineExecution

Lors de la création d'un pipeline de code, vous pouvez indiquer un rôle IAM de codepipeline à exécuter, ce qui pourrait compromettre les informations.

Outre les autorisations précédentes, vous auriez besoin d'accéder à l'endroit où le code est stocké (S3, ECR, github, bitbucket...)

J'ai testé cela en effectuant le processus sur la page web, les autorisations indiquées précédemment ne sont pas celles de type List/Get nécessaires pour créer un codepipeline, mais pour le créer sur le web, vous aurez également besoin de : codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:<plusieurs>

Pendant la création du projet de construction, vous pouvez indiquer une commande à exécuter (rev shell ?) et exécuter la phase de construction en tant qu'utilisateur privilégié, c'est la configuration dont l'attaquant a besoin pour compromettre :

?codebuild:UpdateProject, codepipeline:UpdatePipeline, codepipeline:StartPipelineExecution

Il pourrait être possible de modifier le rôle utilisé et la commande exécutée sur un codepipeline avec les autorisations précédentes.

codepipeline:pollforjobs

AWS mentionne :

Lorsque cette API est appelée, CodePipeline renvoie des informations d'identification temporaires pour le bucket S3 utilisé pour stocker les artefacts du pipeline, si l'action nécessite l'accès à ce bucket S3 pour les artefacts d'entrée ou de sortie. Cette API renvoie également toutes les valeurs secrètes définies pour l'action.