AWS - EMR Privesc
EMR
EMRに関する詳細情報 は以下を参照してください:
pageAWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
iam:PassRole
, elasticmapreduce:RunJobFlow
これらの権限を持つ攻撃者は、EC2ロールをアタッチした新しいEMRクラスタを実行し、その資格情報を盗もうとすることができます。
これを行うには、アカウントにインポートされた いくつかのsshプライベートキーを知っている必要があるか、インポートする必要があり、マスターノードでポート22を開くことができる必要があります(これは、--ec2-attributes
内の EmrManagedMasterSecurityGroup
および/または ServiceAccessSecurityGroup
属性を使用して行うことができるかもしれませます)。
注意してください。--service-role
でEMRロールが指定され、InstanceProfile
内の--ec2-attributes
でec2ロールが指定されています。ただし、このテクニックはEC2ロールの資格情報を盗むことしかできません(ssh経由で接続するため)が、EMR IAMロールは盗むことができません。
潜在的な影響: 指定されたEC2サービスロールへの特権昇格。
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
これらの権限を持つ攻撃者はAWSコンソールに移動し、ノートブックを作成してアクセスし、IAMロールを盗むことができます。
私のテストでは、ノートブックインスタンスにIAMロールをアタッチしても、AWS管理の資格情報を盗むことができ、IAMロールに関連する資格情報は盗むことができませんでした。
潜在的な影響: arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfileへのAWS管理ロールの特権昇格
elasticmapreduce:OpenEditorInConsole
elasticmapreduce:OpenEditorInConsole
この権限だけで、攻撃者はJupyter Notebookにアクセスしてそれに関連するIAMロールを盗むことができます。
ノートブックのURLはhttps://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
です。
私のテストでは、ノートブックインスタンスにIAMロールをアタッチしても、AWS管理の資格情報を盗むことができ、IAMロールに関連する資格情報は盗むことができませんでした。
潜在的な影響: arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfileへのAWS管理ロールの特権昇格
最終更新