AWS - ECS Post Exploitation
ECS
자세한 정보는 다음을 확인하세요:
pageAWS - ECS Enum호스트 IAM 역할
ECS에서는 컨테이너 내에서 실행되는 작업에 IAM 역할을 할당할 수 있습니다. 작업이 EC2 인스턴스 내에서 실행되는 경우, EC2 인스턴스에는 다른 IAM 역할이 연결됩니다. 따라서 ECS 인스턴스를 침해하면 ECR 및 EC2 인스턴스에 연결된 IAM 역할을 얻을 수 있습니다. 해당 자격 증명을 얻는 방법에 대한 자세한 정보는 다음을 확인하세요:
EC2 인스턴스가 IMDSv2를 강제로 적용하는 경우, 문서에 따르면, PUT 요청의 응답은 1개의 홉 한계를 가지므로 EC2 인스턴스 내의 컨테이너에서 EC2 메타데이터에 액세스할 수 없습니다.
노드로의 권한 상승 및 다른 컨테이너 자격 증명 및 비밀 획득
뿐만 아니라 EC2는 ECs 작업을 실행하기 위해 도커를 사용하므로, 노드로 탈출하거나 도커 소켓에 액세스할 수 있다면, 실행 중인 다른 컨테이너를 확인하고 그 안에 들어가서 연결된 IAM 역할을 획득할 수 있습니다.
현재 호스트에서 컨테이너 실행하기
또한, EC2 인스턴스 역할은 일반적으로 클러스터 내의 노드로 사용되는 EC2 인스턴스의 컨테이너 인스턴스 상태를 업데이트할 충분한 권한을 가지고 있습니다. 공격자는 인스턴스의 상태를 DRAINING으로 수정할 수 있으며, 그러면 ECS가 해당 인스턴스에서 모든 작업을 제거하고 REPLICA로 실행되는 작업은 다른 인스턴스에서 실행될 수 있습니다. 이는 공격자가 컨테이너 내부에서 IAM 역할 및 잠재적으로 민감한 정보를 획득할 수 있도록 합니다.
같은 기술은 클러스터에서 EC2 인스턴스를 등록 해제함으로써 수행할 수 있습니다. 이는 잠재적으로 덜 은밀하지만 작업이 다른 인스턴스에서 실행되도록 강제합니다:
작업 또는 컨테이너가 중지되었다고 ECS에 알리는 최종 기술은 작업을 다시 실행하도록 강제하는 것입니다. 이를 위해 사용할 수 있는 3가지 잠재적인 API가 있습니다:
ECR 컨테이너에서 민감한 정보 도용하기
EC2 인스턴스는 아마도 ecr:GetAuthorizationToken
권한을 가지고 있어서 이미지를 다운로드할 수 있습니다 (이미지에서 민감한 정보를 찾을 수 있습니다).
最終更新