AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Użytkownicy posiadający te uprawnienia mogą skonfigurować nowy punkt końcowy deweloperski AWS Glue, przypisując istniejącą rolę usługi, którą można przejąć przez Glue z określonymi uprawnieniami do tego punktu końcowego.
Po skonfigurowaniu atakujący może uzyskać dostęp SSH do instancji punktu końcowego i ukraść poświadczenia IAM przypisanej roli:
W celu zachowania dyskrecji zaleca się korzystanie z poświadczeń IAM z wirtualnej maszyny Glue.
Potencjalny wpływ: Eskalacja uprawnień do określonej roli usługi Glue.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Użytkownicy z tym uprawnieniem mogą zmieniać istniejący punkt końcowy deweloperski Glue, umożliwiając dostęp SSH do niego. Pozwala to atakującemu wykonywać polecenia z uprawnieniami przypisanej roli punktu końcowego:
Potencjalne skutki: Eskalacja uprawnień do roli usługi Glue.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Użytkownicy posiadający uprawnienia iam:PassRole
w połączeniu z glue:CreateJob
lub glue:UpdateJob
, oraz z glue:StartJobRun
lub glue:CreateTrigger
mogą tworzyć lub aktualizować zadanie AWS Glue, przypisując dowolne konto usługi Glue, i uruchamiać wykonanie zadania. Możliwości zadania obejmują uruchamianie arbitralnego kodu Pythona, który może zostać wykorzystany do ustanowienia powrotnej powłoki. Następnie powrotną powłokę można wykorzystać do wycieku poświadczeń IAM przypisanych do roli przypisanej do zadania Glue, co prowadzi do potencjalnego nieautoryzowanego dostępu lub działań na podstawie uprawnień tej roli:
Potencjalny wpływ: Przywileje do roli usługi glue określonej.
glue:UpdateJob
glue:UpdateJob
Tylko z uprawnieniami do aktualizacji atakujący mógłby ukraść poświadczenia IAM już przypisanej roli.
Potencjalny wpływ: Przywileje do roli usługi glue przypisanej.
Odnośniki
Last updated