AWS - EMR Privesc
EMR
Ulteriori informazioni su EMR in:
AWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
iam:PassRole
, elasticmapreduce:RunJobFlow
Un attaccante con queste autorizzazioni può avviare un nuovo cluster EMR collegando ruoli EC2 e cercare di rubare le sue credenziali.
Nota che per fare ciò dovresti conoscere una chiave privata ssh importata nell'account o importarne una, e essere in grado di aprire la porta 22 nel nodo master (potresti essere in grado di farlo con gli attributi EmrManagedMasterSecurityGroup
e/o ServiceAccessSecurityGroup
all'interno di --ec2-attributes
).
Nota come un ruolo EMR sia specificato in --service-role
e un ruolo ec2 sia specificato in --ec2-attributes
all'interno di InstanceProfile
. Tuttavia, questa tecnica permette solo di rubare le credenziali del ruolo EC2 (poiché ci si connetterà tramite ssh) ma non del ruolo IAM EMR.
Impatto Potenziale: Escalation dei privilegi al ruolo di servizio EC2 specificato.
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
Con queste autorizzazioni un attaccante può accedere alla console AWS, creare un Notebook e accedervi per rubare il Ruolo IAM.
Anche se si attacca un ruolo IAM all'istanza del notebook nei miei test ho notato che ero in grado di rubare le credenziali gestite da AWS e non le credenziali relative al ruolo IAM.
Impatto Potenziale: Escalation dei privilegi al ruolo gestito da AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
elasticmapreduce:OpenEditorInConsole
elasticmapreduce:OpenEditorInConsole
Solo con questa autorizzazione un attaccante sarà in grado di accedere al Jupyter Notebook e rubare il ruolo IAM ad esso associato.
L'URL del notebook è https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
Anche se si attacca un ruolo IAM all'istanza del notebook nei miei test ho notato che ero in grado di rubare le credenziali gestite da AWS e non le credenziali relative al ruolo IAM`.
Impatto Potenziale: Escalation dei privilegi al ruolo gestito da AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
Last updated