攻击者|错误配置的IAM角色导致成千上万的云负载受攻击( 三 )_

1.委托人的权限策略具有IAM:PassRole权限；
2.角色的名称与权限策略的资源字段中定义的模式匹配。
3.目标服务列在权限策略的条件字段中，如果没有条件字段，则委托人可以将角色传递给任何服务。
委托人的信任策略允许目标服务承担角色。

文章插图
委托人将角色传递给服务的条件如果委托人比角色具有更高的特权（具有更多的允许权限），则委托人可以访问该角色所附加的服务，那么潜在的权限也会升级。
图2说明了Unit 42研究人员是如何发现、利用并最终获得客户AWS云环境中的管理员访问权限的。研究人员确定并证实了攻击者为破坏环境可能采取的步骤。

文章插图
攻击者使用权限链接来升级特权1.攻击者通过网络钓鱼（例如，开发人员角色会话令牌）从员工那里窃取证书，攻击者通过使用AWS IAM API或枚举服务来查找令牌的权限。
2.攻击者发现令牌具有IAM:PassRole权限，并且对可以传递的角色没有任何限制，攻击者可以传递任何角色。
不受限制的PassRole权限
3.攻击者检查现有角色及其信任策略。通常，每个角色只能由服务承担。攻击者需要找到服务可以伪装成访问的角色，攻击者可以在找到满足条件的角色子集后继续前进。

文章插图
现有角色及其信任策略4.攻击者检查可以利用的角色的权限策略，如果这些角色中的任何一个都比攻击者的当前身份拥有更多的特权(即拥有更多的权限)，则攻击者可以将此角色传递给服务，并从该服务获得提升的特权。攻击者可以找到多个由EC2承担的具有AdministratorAccess的角色。

文章插图
AdministratorAccess的现有角色5.攻击者创建一个新的EC2实例，并将EC2ManagerRole附加到VM。然后，攻击者登录到VM，并在https://169.254.169[.]254/latest/meta-data上调用元数据服务API来检索会话令牌，该会话令牌使攻击者AdministratorAccess可以访问整个云。

文章插图
在EC2实例中使用AdministratorAccess获取会话令牌上面的步骤仅说明了使用错误配置的IAM:PassRole的一种可能的攻击路径，Unit 42的研究人员确定了客户环境中的多个IAM角色和服务，可以以相同的方式加以利用。
这个攻击路径的“类”是可利用的，因为开发人员角色的权限策略对PassRole操作没有限制(图3)。此外，AdministratorAccess被授予多个可以利用的IAM角色。考虑到每天都有数百名开发人员使用这个IdP角色，如果其中一名开发人员的笔记本电脑被黑客攻击，结果很有可能是整个网络都被破坏了的。有了网络管理员访问权限，恶意行为者可以侵入敏感数据，破坏业务运营或锁定整个基础架构。
在发现问题后，Unit 42的研究人员立即与客户合作，纠正错误配置并检查日志。幸运的是，目前还没有恶意攻击者成功利用了这种错误配置。