AWS - SSM Privesc
SSM
Для отримання додаткової інформації про SSM перегляньте:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommand
ssm:SendCommand
Атакувальник з дозволом ssm:SendCommand
може виконувати команди в екземплярах, що працюють з Amazon SSM Agent та компрометувати роль IAM, що працює всередині нього.
Потенційний вплив: Пряме підвищення привілеїв до ролей IAM EC2, приєднаних до запущених екземплярів з запущеними агентами SSM.
ssm:StartSession
ssm:StartSession
Зловмисник з дозволом ssm:StartSession
може запустити сеанс, схожий на SSH, на екземплярах, на яких працює агент Amazon SSM, та компрометувати роль IAM, яка працює всередині нього.
Для початку сесії вам потрібно встановити SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Потенційний вплив: Пряме підвищення привілеїв до ролей IAM EC2, прикріплених до запущених екземплярів з запущеними агентами SSM.
Підвищення привілеїв до ECS
Коли задачі ECS виконуються з увімкненим ExecuteCommand
, користувачі з достатніми дозволами можуть використовувати ecs execute-command
для виконання команди всередині контейнера.
Згідно з документацією, це виконується шляхом створення безпечного каналу між пристроєм, який ви використовуєте для ініціювання команди "exec", та цільовим контейнером з SSM Session Manager.
Отже, користувачі з ssm:StartSession
зможуть отримати оболонку всередині завдань ECS з увімкненою цією опцією, просто виконавши:
Потенційний вплив: Пряме підвищення привілеїв до ролей ECS
IAM, прикріплених до запущених завдань з увімкненим ExecuteCommand
.
ssm:ResumeSession
ssm:ResumeSession
Атакувальник з дозволом ssm:ResumeSession
може перезапустити сеанс, схожий на SSH, на екземплярах, на яких працює Amazon SSM Agent з відключеним станом сеансу SSM та компрометувати роль IAM, яка працює всередині нього.
Потенційний вплив: Пряме підвищення привілеїв до ролей IAM EC2, приєднаних до запущених екземплярів з запущеними агентами SSM та відключеними сеансами.
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)Зловмисник з вказаними дозволами зможе переглядати параметри SSM та читати їх у відкритому вигляді. У цих параметрах ви часто можете знайти чутливу інформацію, таку як ключі SSH або ключі API.
Потенційний вплив: Знайти чутливу інформацію всередині параметрів.
ssm:ListCommands
ssm:ListCommands
Атакуючий з цим дозволом може переглянути всі команди, відправлені та, можливо, знайти на них чутливу інформацію.
Потенційний вплив: Знаходження чутливої інформації всередині командних рядків.
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)Зловмисник з цими дозволами може перелічити всі команди, відправлені та прочитати вивід, сподіваючись знайти на ньому чутливу інформацію.
Потенційний вплив: Знайдіть чутливу інформацію в виводі командних рядків.
Codebuild
Ви також можете використовувати SSM, щоб потрапити в проект codebuild, який будується:
pageAWS - Codebuild PrivescLast updated