AWS - IAM Post Exploitation

IAM

IAM 접근에 대한 자세한 정보는 다음을 참조하십시오:

Confused Deputy Problem

외부 계정(A)에게 귀하의 계정에서 역할에 접근할 수 있도록 허용하면, 해당 외부 계정에 정확히 누가 접근할 수 있는지에 대한 가시성이 0이 될 가능성이 큽니다. 이는 문제입니다. 왜냐하면 다른 외부 계정(B)이 외부 계정(A)에 접근할 수 있다면, B도 귀하의 계정에 접근할 수 있기 때문입니다.

따라서 외부 계정이 귀하의 계정에서 역할에 접근할 수 있도록 허용할 때 ExternalId를 지정할 수 있습니다. 이는 외부 계정(A)이 귀하의 조직에서 역할을 맡기 위해 지정해야 하는 "비밀" 문자열입니다. 외부 계정 B는 이 문자열을 알지 못하기 때문에, A에 대한 접근 권한이 있더라도 귀하의 역할에 접근할 수 없습니다.

그러나 이 ExternalId "비밀"은 비밀이 아닙니다. IAM 역할 정책을 읽을 수 있는 사람은 누구나 이를 볼 수 있습니다. 하지만 외부 계정 A가 이를 알고 외부 계정 B가 이를 모르는 한, B가 A를 악용하여 귀하의 역할에 접근하는 것을 방지할 수 있습니다.

예시:

{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "Example Corp's AWS Account ID"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "12345"
}
}
}
}

예상치 못한 신뢰

주체로서의 와일드카드

{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": { "AWS": "*" },
}

이 정책은 모든 AWS가 역할을 맡을 수 있도록 허용합니다.

Service as principal

{
"Action": "lambda:InvokeFunction",
"Effect": "Allow",
"Principal": { "Service": "apigateway.amazonaws.com" },
"Resource": "arn:aws:lambda:000000000000:function:foo"
}

이 정책은 어떤 계정이든 이 Lambda를 호출하도록 apigateway를 구성할 수 있게 합니다.

S3 as principal

"Condition": {
"ArnLike": { "aws:SourceArn": "arn:aws:s3:::source-bucket" },
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}

S3 버킷이 principal로 지정된 경우, S3 버킷에는 Account ID가 없기 때문에, 버킷을 삭제하고 공격자가 자신의 계정에 버킷을 생성하면 이를 악용할 수 있습니다.

지원되지 않음

{
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/AWSLogs/MY_ACCOUNT_ID/*"
}

Confused Deputy 문제를 피하는 일반적인 방법은 AWS:SourceArn 조건을 사용하여 원본 ARN을 확인하는 것입니다. 그러나 일부 서비스는 이를 지원하지 않을 수 있습니다 (일부 소스에 따르면 CloudTrail과 같은).

References

• https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html