AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)इन अनुमतियों वाले उपयोगकर्ता एक नया AWS Glue विकास अंत बिंदु सेटअप कर सकते हैं, Glue द्वारा अनुमेय एक मौजूदा सेवा भूमिका को इस अंत बिंदु पर विशिष्ट अनुमतियों के साथ असाइन कर सकते हैं।
सेटअप के बाद, हमलावर अंत बिंदु के उदाहरण में SSH कर सकता है, और असाइन की गई भूमिका के IAM क्रेडेंशियल चुरा सकता है:
गोपनीयता के उद्देश्य के लिए, Glue वर्चुअल मशीन के अंदर IAM क्रेडेंशियल्स का उपयोग करने की सिफारिश की जाती है।
संभावित प्रभाव: निर्दिष्ट Glue सेवा भूमिका तक प्रिवेस्क।
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)इस अनुमति वाले उपयोगकर्ता एक मौजूदा Glue विकास अंत बिंदु की SSH कुंजी को बदल सकते हैं, जिससे SSH पहुंच सक्षम होती है। इससे हमलावर को अंत बिंदु की संलग्न भूमिका के विशेषाधिकारों के साथ आदेश निष्पादित करने की अनुमति मिलती है:
संभावित प्रभाव: उपयोग की गई गोंद सेवा भूमिका के लिए प्रिवेस्क।
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)उपयोगकर्ता जिनके पास iam:PassRole
है, जो glue:CreateJob
या glue:UpdateJob
के साथ, और glue:StartJobRun
या glue:CreateTrigger
के साथ मिलकर AWS Glue नौकरी बना या अपडेट कर सकते हैं, किसी भी गोंद सेवा खाते को संलग्न कर सकते हैं, और नौकरी के निष्पादन को प्रारंभ कर सकते हैं। नौकरी की क्षमताओं में मनमाने Python कोड को चलाना शामिल है, जिसका उपयोग एक रिवर्स शेल स्थापित करने के लिए किया जा सकता है। इस रिवर्स शेल का उपयोग फिर IAM क्रेडेंशियल को निकालने के लिए किया जा सकता है जो गोंद नौकरी से जुड़ी भूमिका के हैं, जिससे उस भूमिका के अनुमतियों के आधार पर संभावित अनधिकृत पहुंच या क्रियाएं हो सकती हैं:
संभावित प्रभाव: निर्दिष्ट ग्लू सेवा भूमिका के लिए प्रिवेस्क।
glue:UpdateJob
glue:UpdateJob
केवल अपडेट अनुमति के साथ, एक हमलावर पहले से जुड़े भूमिका के IAM क्रेडेंशियल्स चुरा सकता है।
संभावित प्रभाव: जुड़े हुए ग्लू सेवा भूमिका के लिए प्रिवेस्क।
संदर्भ
Last updated