AWS - EMR Privesc
EMR
EMRに関する詳細情報は以下を参照してください:
AWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
iam:PassRole
, elasticmapreduce:RunJobFlow
これらの権限を持つ攻撃者は、新しいEMRクラスターを実行し、EC2ロールをアタッチしてその資格情報を盗もうとすることができます。
これを行うには、アカウントにインポートされたいくつかのsshプライベートキーを知っている必要があります、または1つをインポートし、マスターノードでポート22を開くことができる必要があります(これは--ec2-attributes
内のEmrManagedMasterSecurityGroup
および/またはServiceAccessSecurityGroup
属性で行うことができるかもしれませません)。
注意してください。--service-role
でEMRロールが指定され、InstanceProfile
内で--ec2-attributes
でec2ロールが指定されています。ただし、このテクニックはEC2ロールの資格情報を盗むことしかできません(ssh経由で接続するため)、EMR IAMロールは盗むことができません。
潜在的な影響: 指定されたEC2サービスロールへの権限昇格。
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
これらの権限を持つ攻撃者はAWSコンソールにアクセスし、ノートブックを作成してIAMロールを盗むことができます。
私のテストでは、ノートブックインスタンスにIAMロールをアタッチしても、IAMロールに関連する資格情報ではなく、AWSが管理する資格情報を盗むことができました。
潜在的な影響: arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfileへのAWS管理ロールへの権限昇格
elasticmapreduce:OpenEditorInConsole
elasticmapreduce:OpenEditorInConsole
この権限だけで、攻撃者はJupyter NotebookにアクセスしてIAMロールを盗むことができます。
ノートブックのURLはhttps://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
です。
私のテストでは、ノートブックインスタンスにIAMロールをアタッチしても、IAMロールに関連する資格情報ではなく、AWSが管理する資格情報を盗むことができました。
潜在的な影響: arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfileへのAWS管理ロールへの権限昇格
Last updated