gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 21:53:15 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-post-exploitation/aws

Browse Source
This commit is contained in:
Translator
2025-10-23 21:53:51 +00:00
parent 8e3d5c700d
commit 4d12156cb7
1 changed files with 44 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

44
src/pentesting-cloud/aws-security/aws-post-exploitation/aws-mwaa-post-exploitation/README.md Normal file
View File

@@ -0,0 +1,44 @@
# AWS MWAA Execution Role Rekening Wildcard Kwesbaarheid
## Die kwesbaarheid
MWAA se execution role (die IAM role wat Airflow workers gebruik om toegang tot AWS resources te kry) vereis hierdie verpligte beleid om te funksioneer:
```json
{
"Effect": "Allow",
"Action": [
"sqs:ChangeMessageVisibility",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:us-east-1:*:airflow-celery-*"
}
```
Die wildcard (`*`) in die account ID posisie laat die rol toe om met **any SQS queue in any AWS account** te kommunikeer wat begin met `airflow-celery-`. Dit is nodig omdat AWS MWAA se interne queues in 'n aparte AWS-beheerde account voorsien. Daar is geen beperking op die skep van queues met die `airflow-celery-` voorvoegsel nie.
**Kan nie reggemaak word nie:** Verwydering van die wildcard voor deployment breek MWAA heeltemal - die scheduler kan nie take in die queue sit vir workers nie.
Dokumentasie wat die kwesbaarheid bevestig en die vektor erken: [AWS Documentation](https://docs.aws.amazon.com/mwaa/latest/userguide/mwaa-create-role.html)
## Uitbuiting
Alle Airflow DAGs hardloop met die execution role se permissions. DAGs is Python-skripte wat arbitrêre kode kan uitvoer — hulle kan `yum` of `curl` gebruik om tools te installeer, kwaadwillige skripte af te laai, of enige Python-biblioteek te importeer. DAGs word uit 'n aangewese S3-vouer gehaal en op 'n skedule outomaties uitgevoer; 'n aanvaller hoef slegs die vermoë te hê om te PUT na daardie bucket-pad.
Enigiemand wat DAGs kan skryf (tipies die meeste gebruikers in MWAA-omgewings) kan hierdie permission misbruik:
1. **Data Exfiltration**: Skep 'n queue genaamd `airflow-celery-exfil` in 'n eksterne account, skryf 'n DAG wat sensitiewe data daarheen stuur via `boto3`
2. **Command & Control**: Poll commands from an external queue, execute them, return results - creating a persistent backdoor through SQS APIs
3. **Cross-Account Attacks**: Inject malicious messages into other organizations' queues if they follow the naming pattern
Alle aanvalle omseil netwerkbeheer omdat hulle AWS APIs gebruik, nie direkte internetverbindinge nie.
## Impak
Dit is 'n argitektoniese fout in MWAA sonder IAM-gebaseerde mitigasie. Elke MWAA deployment wat AWS dokumentasie volg het hierdie kwesbaarheid.
**Netwerkbeheer-omseiling:** Hierdie aanvalle werk selfs in private VPCs sonder internettoegang. Die SQS API-oproepe gebruik AWS se interne netwerk en VPC endpoints, en omseil daarmee tradisionele netwerksekuriteitsbeheers, firewalls en egress-monitoring. Organisasies kan nie hierdie data exfiltration-pad op netwerkvlak opspoor of blokkeer nie.