AWS - EMR Privesc
EMR
Więcej informacji na temat EMR znajdziesz w:
pageAWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
iam:PassRole
, elasticmapreduce:RunJobFlow
Atakujący posiadający te uprawnienia może uruchomić nowy klaster EMR, dołączając role EC2 i próbować ukraść jego poświadczenia.
Należy zauważyć, że w celu wykonania tego zadania musisz znać klucz prywatny ssh zaimportowany do konta lub zaimportować jeden oraz być w stanie otworzyć port 22 w węźle głównym (możesz to zrobić za pomocą atrybutów EmrManagedMasterSecurityGroup
i/lub ServiceAccessSecurityGroup
wewnątrz --ec2-attributes
).
Zauważ, że w --service-role
jest określona rola EMR, a w --ec2-attributes
wewnątrz InstanceProfile
jest określona rola ec2. Jednak ta technika pozwala tylko na kradzież poświadczeń roli EC2 (ponieważ połączysz się za pomocą ssh), ale nie roli IAM EMR.
Potencjalne skutki: Przywileje dla roli usługi EC2.
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
Z tymi uprawnieniami atakujący może przejść do konsoli AWS, utworzyć notatnik i uzyskać do niego dostęp w celu kradzieży roli IAM.
Nawet jeśli dołączysz rolę IAM do instancji notatnika, w moich testach zauważyłem, że byłem w stanie ukraść zarządzane poświadczenia AWS, a nie poświadczenia związane z rolą IAM.
Potencjalne skutki: Przywileje dla zarządzanej roli AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
elasticmapreduce:OpenEditorInConsole
elasticmapreduce:OpenEditorInConsole
Tylko z tym uprawnieniem atakujący będzie mógł uzyskać dostęp do Jupyter Notebook i ukraść rolę IAM z nią związaną.
Adres URL notatnika to https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
Nawet jeśli dołączysz rolę IAM do instancji notatnika, w moich testach zauważyłem, że byłem w stanie ukraść zarządzane poświadczenia AWS, a nie poświadczenia związane z rolą IAM.
Potencjalne skutki: Przywileje dla zarządzanej roli AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
Last updated