AWS - RDS Privesc
RDS - Service de base de données relationnelle
Pour plus d'informations sur RDS, consultez :
pageAWS - Relational Database (RDS) Enumrds:ModifyDBInstance
rds:ModifyDBInstance
Avec cette autorisation, un attaquant peut modifier le mot de passe de l'utilisateur principal et le login à l'intérieur de la base de données :
Vous devrez être capable de contacter la base de données (elles sont généralement accessibles uniquement depuis les réseaux internes).
Impact potentiel : Trouver des informations sensibles à l'intérieur des bases de données.
rds-db:connect
Selon la documentation, un utilisateur ayant cette autorisation pourrait se connecter à l'instance de la base de données.
Abus des autorisations IAM du rôle RDS
Postgresql (Aurora)
Si en exécutant SELECT datname FROM pg_database;
vous trouvez une base de données appelée rdsadmin
, vous saurez que vous êtes à l'intérieur d'une base de données AWS postgresql.
Tout d'abord, vous pouvez vérifier si cette base de données a été utilisée pour accéder à tout autre service AWS. Vous pourriez vérifier cela en examinant les extensions installées :
Si vous trouvez quelque chose comme aws_s3
, vous pouvez supposer que cette base de données a un certain type d'accès sur S3 (il existe d'autres extensions telles que aws_ml
et aws_lambda
).
De plus, si vous avez les autorisations pour exécuter aws rds describe-db-clusters
, vous pouvez voir si le cluster a un rôle IAM attaché dans le champ AssociatedRoles
. Si c'est le cas, vous pouvez supposer que la base de données a été préparée pour accéder à d'autres services AWS. En fonction du nom du rôle (ou si vous pouvez obtenir les autorisations du rôle), vous pourriez deviner quels sont les accès supplémentaires dont dispose la base de données.
Maintenant, pour lire un fichier à l'intérieur d'un bucket, vous devez connaître le chemin complet. Vous pouvez le lire avec :
Si vous aviez des identifiants AWS bruts, vous pourriez également les utiliser pour accéder aux données S3 avec :
Postgresql n'a pas besoin de modifier une variable de groupe de paramètres pour pouvoir accéder à S3.
Mysql (Aurora)
Dans un mysql, si vous exécutez la requête SELECT User, Host FROM mysql.user;
et qu'il y a un utilisateur appelé rdsadmin
, vous pouvez supposer que vous êtes dans une base de données AWS RDS mysql.
Dans le mysql, exécutez show variables;
et si les variables telles que aws_default_s3_role
, aurora_load_from_s3_role
, aurora_select_into_s3_role
ont des valeurs, vous pouvez supposer que la base de données est prête à accéder aux données S3.
De plus, si vous avez les autorisations pour exécuter aws rds describe-db-clusters
vous pouvez vérifier si le cluster a un rôle associé, ce qui signifie généralement un accès aux services AWS).
Maintenant, pour lire un fichier à l'intérieur d'un bucket, vous devez connaître le chemin complet. Vous pouvez le lire avec:
rds:AddRoleToDBCluster
, iam:PassRole
rds:AddRoleToDBCluster
, iam:PassRole
Un attaquant avec les autorisations rds:AddRoleToDBCluster
et iam:PassRole
peut ajouter un rôle spécifié à une instance RDS existante. Cela pourrait permettre à l'attaquant d'accéder à des données sensibles ou de modifier les données dans l'instance.
Impact potentiel : Accès à des données sensibles ou modifications non autorisées des données dans l'instance RDS. Notez que certaines bases de données nécessitent des configurations supplémentaires telles que Mysql, qui doit spécifier le rôle ARN dans les groupes de paramètres également.
rds:CreateDBInstance
rds:CreateDBInstance
Rien qu'avec cette autorisation, un attaquant pourrait créer une nouvelle instance à l'intérieur d'un cluster qui existe déjà et a un rôle IAM attaché. Il ne pourra pas changer le mot de passe de l'utilisateur principal, mais il pourrait exposer la nouvelle instance de base de données à Internet :
rds:CreateDBInstance
, iam:PassRole
rds:CreateDBInstance
, iam:PassRole
TODO: Test
Un attaquant avec les autorisations rds:CreateDBInstance
et iam:PassRole
peut créer une nouvelle instance RDS avec un rôle spécifié attaché. L'attaquant peut ensuite potentiellement accéder à des données sensibles ou modifier les données dans l'instance.
Certains prérequis du rôle/profil d'instance à attacher (de ici):
Le profil doit exister dans votre compte.
Le profil doit avoir un rôle IAM que Amazon EC2 a l'autorisation d'assumer.
Le nom du profil d'instance et le nom du rôle IAM associé doivent commencer par le préfixe
AWSRDSCustom
.
Impact potentiel : Accès à des données sensibles ou modifications non autorisées des données dans l'instance RDS.
rds:AddRoleToDBInstance
, iam:PassRole
rds:AddRoleToDBInstance
, iam:PassRole
Un attaquant avec les autorisations rds:AddRoleToDBInstance
et iam:PassRole
peut ajouter un rôle spécifié à une instance RDS existante. Cela pourrait permettre à l'attaquant d'accéder à des données sensibles ou de modifier les données dans l'instance.
L'instance de la base de données doit être en dehors d'un cluster pour cela.
Impact potentiel: Accès à des données sensibles ou modifications non autorisées des données dans l'instance RDS.
Dernière mise à jour