AWS - STS Privesc
STS
sts:AssumeRole
sts:AssumeRole
Kila jukumu lina sera ya kuamini jukumu, sera hii inaonyesha nani anaweza kuchukua jukumu lililotengenezwa. Ikiwa jukumu kutoka kwa akaunti ile ile linasema kwamba akaunti inaweza kuchukua, inamaanisha kwamba akaunti hiyo itakuwa na uwezo wa kufikia jukumu hilo (na kwa uwezekano privesc).
Kwa mfano, sera ifuatayo ya kuamini jukumu inaonyesha kwamba mtu yeyote anaweza kuchukua, kwa hivyo mtumiaji yeyote ataweza privesc kwa ruhusa zinazohusiana na jukumu hilo.
Unaweza kujifanya kuwa jukumu kwa kukimbia:
Madhara Yanayoweza Kutokea: Privesc kwa jukumu.
Kumbuka kwamba katika kesi hii ruhusa sts:AssumeRole
inahitaji kuwa imeonyeshwa katika jukumu la kutumia vibaya na si katika sera inayomilikiwa na mshambuliaji.
Kwa ubaguzi mmoja, ili kuchukua jukumu kutoka akaunti tofauti akaunti ya mshambuliaji pia inahitaji kuwa na sts:AssumeRole
juu ya jukumu.
sts:GetFederationToken
sts:GetFederationToken
Kwa ruhusa hii inawezekana kuzalisha ithibati za kujifanya kuwa mtumiaji yeyote:
Hii ndiyo njia ambayo ruhusa hii inaweza kutolewa kwa usalama bila kutoa ufikiaji wa kujifanya kuwa watumiaji wengine:
sts:AssumeRoleWithSAML
sts:AssumeRoleWithSAML
Sera ya kuaminiana na jukumu hili inatoa watumiaji walioidhinishwa kupitia SAML ufikiaji wa kujifanya kuwa jukumu hilo.
Mfano wa sera ya kuaminiana yenye ruhusa hii ni:
Ili kuunda akreditivu za kujifanya kuwa na jukumu kwa ujumla unaweza kutumia kitu kama:
Lakini watoa huduma wanaweza kuwa na zana zao za kufanya hii iwe rahisi, kama onelogin-aws-assume-role:
Madhara Yanayoweza Kutokea: Privesc kwa jukumu.
sts:AssumeRoleWithWebIdentity
sts:AssumeRoleWithWebIdentity
Ruhusa hii inatoa ruhusa ya kupata seti ya akreditif za usalama za muda kwa watumiaji ambao wamethibitishwa katika programu za rununu, wavuti, EKS... na mtoa huduma wa utambulisho wa wavuti. Jifunze zaidi hapa.
Kwa mfano, ikiwa akaunti ya huduma ya EKS inapaswa kuwa na uwezo wa kujifanya kama jukumu la IAM, itakuwa na token katika /var/run/secrets/eks.amazonaws.com/serviceaccount/token
na inaweza kuchukua jukumu na kupata akreditif ikifanya kitu kama:
Federation Abuse
AWS - Federation AbuseLast updated