AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Gli utenti con queste autorizzazioni possono configurare un nuovo endpoint di sviluppo AWS Glue, assegnando un ruolo di servizio esistente assumibile da Glue con autorizzazioni specifiche a questo endpoint.
Dopo la configurazione, l'attaccante può accedere tramite SSH all'istanza dell'endpoint, e rubare le credenziali IAM del ruolo assegnato:
Per scopi di stealth, è consigliabile utilizzare le credenziali IAM da all'interno della macchina virtuale Glue.
Impatto Potenziale: Privesc al ruolo di servizio glue specificato.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Gli utenti con questa autorizzazione possono modificare un endpoint di sviluppo Glue esistente chiave SSH, abilitando l'accesso SSH ad esso. Ciò consente all'attaccante di eseguire comandi con i privilegi del ruolo associato all'endpoint:
Impatto Potenziale: Privesc al ruolo del servizio glue utilizzato.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Gli utenti con iam:PassRole
combinato con glue:CreateJob
o glue:UpdateJob
, e sia glue:StartJobRun
o glue:CreateTrigger
possono creare o aggiornare un lavoro AWS Glue, collegando qualsiasi account di servizio Glue, e avviare l'esecuzione del lavoro. Le capacità del lavoro includono l'esecuzione di codice Python arbitrario, che può essere sfruttato per stabilire una shell inversa. Questa shell inversa può quindi essere utilizzata per esfiltrare le credenziali IAM del ruolo collegato al lavoro Glue, portando a un potenziale accesso non autorizzato o azioni basate sui permessi di quel ruolo:
Impatto Potenziale: Privesc al ruolo di servizio glue specificato.
glue:UpdateJob
glue:UpdateJob
Solo con il permesso di aggiornamento un attaccante potrebbe rubare le credenziali IAM del ruolo già associato.
Impatto Potenziale: Privesc al ruolo di servizio glue associato.
Riferimenti
Last updated