AWS - Glue Privesc
glue
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
iam:PassRole
, glue:CreateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Користувачі з цими дозволами можуть налаштувати нову розробницьку точку доступу AWS Glue, призначивши існуючу службову роль з конкретними дозволами для цієї точки доступу.
Після налаштування зловмисник може виконати SSH на екземпляр точки доступу та вкрасти IAM-підтвердження призначеної ролі:
Для забезпечення конфіденційності рекомендується використовувати облікові дані IAM зсередини віртуальної машини Glue.
Потенційний вплив: Підвищення привілеїв до вказаної ролі служби glue.
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)
glue:UpdateDevEndpoint
, (glue:GetDevEndpoint
| glue:GetDevEndpoints
)Користувачі з цим дозволом можуть змінювати існуючу точку розвитку Glue, ключ SSH, що дозволяє доступ до SSH. Це дозволяє зловмиснику виконувати команди з привілеями ролі, приєднаної до точки розвитку:
Потенційний вплив: Підвищення привілеїв до ролі служби glue, яка використовується.
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)
iam:PassRole
, (glue:CreateJob
| glue:UpdateJob
), (glue:StartJobRun
| glue:CreateTrigger
)Користувачі з iam:PassRole
, поєднано з glue:CreateJob
або glue:UpdateJob
, і або glue:StartJobRun
або glue:CreateTrigger
можуть створювати або оновлювати роботу AWS Glue, прикріплюючи будь-який обліковий запис служби Glue, та запускати виконання роботи. Можливості роботи включають в себе виконання довільного коду Python, який може бути використаний для створення зворотного shell. Цей зворотний shell можна використовувати для виведення IAM-підтвердження ролі, прикріпленої до роботи Glue, що призводить до потенційного несанкціонованого доступу або дій на основі дозволів цієї ролі:
Потенційний вплив: Підвищення привілеїв до вказаної ролі служби glue.
glue:UpdateJob
glue:UpdateJob
Лише з дозволом на оновлення атакуючий може вкрасти облікові дані IAM вже прикріпленої ролі.
Потенційний вплив: Підвищення привілеїв до прикріпленої ролі служби glue.
Посилання
Last updated