AWS - Cloudformation Privesc
cloudformation
Для отримання додаткової інформації про cloudformation перегляньте:
AWS - CloudFormation & Codestar Enumiam:PassRole
, cloudformation:CreateStack
iam:PassRole
, cloudformation:CreateStack
Атакувальник з цими дозволами може підвищити привілеї, створивши стек CloudFormation зі спеціальним шаблоном, розміщеним на своєму сервері, для виконання дій в межах дозволів вказаної ролі:
На наступній сторінці ви знайдете приклад використання з додатковим дозволом cloudformation:DescribeStacks
:
Потенційний вплив: Підвищення привілеїв до обраної ролі служби cloudformation.
iam:PassRole
, (cloudformation:UpdateStack
| cloudformation:SetStackPolicy
)
iam:PassRole
, (cloudformation:UpdateStack
| cloudformation:SetStackPolicy
)У цьому випадку ви можете зловживати існуючим стеком cloudformation, щоб оновити його та підвищити привілеї, як у попередньому сценарії:
Дозвіл cloudformation:SetStackPolicy
може бути використаний для надання собі дозволу UpdateStack
над стеком та виконання атаки.
Потенційний вплив: Підвищення привілеїв до ролі служби cloudformation, вказаної.
cloudformation:UpdateStack
| cloudformation:SetStackPolicy
cloudformation:UpdateStack
| cloudformation:SetStackPolicy
Якщо у вас є цей дозвіл, але немає iam:PassRole
, ви все ще можете оновлювати використані стеки та зловживати IAM-ролями, які вже прикріплені. Перевірте попередній розділ для прикладу експлойту (просто не вказуйте жодної ролі при оновленні).
Дозвіл cloudformation:SetStackPolicy
може бути використаний для надання собі дозволу UpdateStack
над стеком та виконання атаки.
Потенційний вплив: Підвищення привілеїв до ролі служби cloudformation, яка вже прикріплена.
iam:PassRole
,((cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)
iam:PassRole
,((cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)Атакуючий з дозволами на передачу ролі та створення та виконання ChangeSet може створити/оновити новий стек cloudformation та зловживати ролями служби cloudformation так само, як з CreateStack або UpdateStack.
Наступний експлойт є варіацією одного з CreateStack використовуючи дозволи ChangeSet для створення стеку.
Дозвіл cloudformation:SetStackPolicy
може бути використаний для надання собі дозволів ChangeSet
над стеком та виконання атаки.
Потенційний вплив: Підвищення привілеїв до ролей служби cloudformation.
(cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)
cloudformation:CreateChangeSet
, cloudformation:ExecuteChangeSet
) | cloudformation:SetStackPolicy
)Це схоже на попередній метод без передачі IAM ролей, тому ви можете просто зловживати вже прикріпленими, просто змініть параметр:
Потенційний вплив: Підвищення привілегій до ролі обслуги cloudformation, яка вже прикріплена.
iam:PassRole
,(cloudformation:CreateStackSet
| cloudformation:UpdateStackSet
)
iam:PassRole
,(cloudformation:CreateStackSet
| cloudformation:UpdateStackSet
)Зловмисник може зловживати цими дозволами для створення/оновлення StackSets для зловживання довільними ролями cloudformation.
Потенційний вплив: Підвищення привілегій до ролей обслуги cloudformation.
cloudformation:UpdateStackSet
cloudformation:UpdateStackSet
Зловмисник може зловживати цим дозволом без дозволу passRole для оновлення StackSets для зловживання прикріпленими ролями cloudformation.
Потенційний вплив: Підвищення привілегій до прикріплених ролей cloudformation.
Посилання
Last updated