AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Les utilisateurs avec ces autorisations peuvent configurer un nouveau point de terminaison de développement AWS Glue, en attribuant un rôle de service existant pouvant être assumé par Glue avec des autorisations spécifiques à ce point de terminaison.
Après la configuration, l'attaquant peut se connecter en SSH à l'instance du point de terminaison, et voler les informations d'identification IAM du rôle attribué :
Dans un souci de discrétion, il est recommandé d'utiliser les informations d'identification IAM depuis l'intérieur de la machine virtuelle Glue.
Impact potentiel : Élévation des privilèges vers le rôle de service Glue spécifié.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Les utilisateurs avec cette autorisation peuvent modifier un point de terminaison de développement Glue existant pour y ajouter une clé SSH, permettant l'accès SSH. Cela permet à l'attaquant d'exécuter des commandes avec les privilèges du rôle attaché au point de terminaison :
Impact potentiel : Élévation de privilèges vers le rôle de service Glue utilisé.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Les utilisateurs avec iam:PassRole
combiné avec soit glue:CreateJob
ou glue:UpdateJob
, et soit glue:StartJobRun
ou glue:CreateTrigger
peuvent créer ou mettre à jour un travail AWS Glue, en attachant n'importe quel compte de service Glue, et lancer l'exécution du travail. Les capacités du travail incluent l'exécution de code Python arbitraire, qui peut être exploité pour établir un shell inversé. Ce shell inversé peut ensuite être utilisé pour exfiltrer les informations d'identification IAM du rôle attaché au travail Glue, entraînant un accès ou des actions non autorisés potentiels en fonction des autorisations de ce rôle :
Impact potentiel : Élévation des privilèges vers le rôle de service Glue spécifié.
glue:UpdateJob
glue:UpdateJob
Rien qu'avec l'autorisation de mise à jour, un attaquant pourrait voler les informations d'identification IAM du rôle déjà attaché.
Impact potentiel : Élévation des privilèges vers le rôle de service Glue attaché.
Références
Dernière mise à jour