AWS - Codestar Privesc
Codestar
Vous pouvez trouver plus d'informations sur Codestar dans :
codestar:CreateProject, codestar:AssociateTeamMemberiam:PassRole
, codestar:CreateProject
iam:PassRole
, codestar:CreateProject
Avec ces autorisations, vous pouvez abuser d'un rôle IAM de codestar pour effectuer des actions arbitraires via un modèle cloudformation. Consultez la page suivante :
iam:PassRole, codestar:CreateProjectcodestar:CreateProject
, codestar:AssociateTeamMember
codestar:CreateProject
, codestar:AssociateTeamMember
Cette technique utilise codestar:CreateProject
pour créer un projet codestar, et codestar:AssociateTeamMember
pour faire d'un utilisateur IAM le propriétaire d'un nouveau projet CodeStar, ce qui leur accordera une nouvelle stratégie avec quelques autorisations supplémentaires.
Si vous êtes déjà un membre du projet, vous pouvez utiliser l'autorisation codestar:UpdateTeamMember
pour mettre à jour votre rôle en propriétaire au lieu de codestar:AssociateTeamMember
Impact potentiel: Élévation de privilèges vers la politique codestar générée. Vous pouvez trouver un exemple de cette politique dans:
codestar:CreateProject, codestar:AssociateTeamMembercodestar:CreateProjectFromTemplate
codestar:CreateProjectFromTemplate
Créer un nouveau projet:
Utilisez l'action
codestar:CreateProjectFromTemplate
pour initier la création d'un nouveau projet.Après la création réussie, l'accès est automatiquement accordé pour
cloudformation:UpdateStack
.Cet accès cible spécifiquement une pile associée au rôle IAM
CodeStarWorker-<nom de projet générique>-CloudFormation
.
Mettre à jour la pile cible:
Avec les autorisations CloudFormation accordées, procédez à la mise à jour de la pile spécifiée.
Le nom de la pile suivra généralement l'un des deux modèles:
awscodestar-<nom de projet générique>-infrastructure
awscodestar-<nom de projet générique>-lambda
Le nom exact dépend du modèle choisi (en référence au script d'exploitation d'exemple).
Accès et autorisations:
Après la mise à jour, vous obtenez les capacités attribuées au rôle IAM CloudFormation lié à la pile.
Remarque: Cela ne confère pas automatiquement des privilèges d'administrateur complet. Des ressources mal configurées supplémentaires dans l'environnement pourraient être nécessaires pour élever davantage les privilèges.
Pour plus d'informations, consultez la recherche originale: https://rhinosecuritylabs.com/aws/escalating-aws-iam-privileges-undocumented-codestar-api/. Vous pouvez trouver l'exploit dans https://github.com/RhinoSecurityLabs/Cloud-Security-Research/blob/master/AWS/codestar_createprojectfromtemplate_privesc/CodeStarPrivEsc.py
Impact potentiel: Élévation de privilèges vers le rôle IAM cloudformation.
Last updated