AWS - Codepipeline Privesc
codepipeline
Para mais informações sobre codepipeline, confira:
AWS - DataPipeline, CodePipeline & CodeCommit Enumiam:PassRole, codepipeline:CreatePipeline, codebuild:CreateProject, codepipeline:StartPipelineExecution
iam:PassRole, codepipeline:CreatePipeline, codebuild:CreateProject, codepipeline:StartPipelineExecutionAo criar um code pipeline, você pode indicar um codepipeline IAM Role para executar, portanto, você poderia comprometê-los.
Além das permissões anteriores, você precisaria de acesso ao local onde o código está armazenado (S3, ECR, github, bitbucket...)
Eu testei isso fazendo o processo na página web, as permissões indicadas anteriormente não são as List/Get necessárias para criar um codepipeline, mas para criá-lo na web você também precisará de: codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:<several>
Durante a criação do projeto de build você pode indicar um comando para executar (rev shell?) e executar a fase de build como usuário privilegiado, essa é a configuração que o atacante precisa para comprometer:
?codebuild:UpdateProject, codepipeline:UpdatePipeline, codepipeline:StartPipelineExecution
codebuild:UpdateProject, codepipeline:UpdatePipeline, codepipeline:StartPipelineExecutionPode ser possível modificar o role usado e o comando executado em um codepipeline com as permissões anteriores.
codepipeline:pollforjobs
codepipeline:pollforjobsQuando esta API é chamada, o CodePipeline retorna credenciais temporárias para o bucket S3 usado para armazenar artefatos para o pipeline, se a ação exigir acesso a esse bucket S3 para artefatos de entrada ou saída. Esta API também retorna quaisquer valores secretos definidos para a ação.
Last updated
