AWS - Abuser des extensions Lambda

Reading time: 5 minutes

Extensions Lambda

Les extensions Lambda améliorent les fonctions en s'intégrant à divers outils de surveillance, d'observabilité, de sécurité et de gouvernance. Ces extensions, ajoutées via des .zip archives utilisant des couches Lambda ou incluses dans les déploiements d'images de conteneur, fonctionnent en deux modes : interne et externe.

• Les extensions internes se fusionnent avec le processus d'exécution, manipulant son démarrage à l'aide de variables d'environnement spécifiques au langage et de scripts d'enveloppe. Cette personnalisation s'applique à une gamme de temps d'exécution, y compris Java Correto 8 et 11, Node.js 10 et 12, et .NET Core 3.1.
• Les extensions externes s'exécutent en tant que processus séparés, maintenant l'alignement opérationnel avec le cycle de vie de la fonction Lambda. Elles sont compatibles avec divers temps d'exécution comme Node.js 10 et 12, Python 3.7 et 3.8, Ruby 2.5 et 2.7, Java Corretto 8 et 11, .NET Core 3.1, et des temps d'exécution personnalisés.

Pour plus d'informations sur comment fonctionnent les extensions lambda, consultez la documentation.

Extension externe pour la persistance, le vol de requêtes et la modification de requêtes

Ceci est un résumé de la technique proposée dans ce post : https://www.clearvector.com/blog/lambda-spy/

Il a été constaté que le noyau Linux par défaut dans l'environnement d'exécution Lambda est compilé avec les appels système “process_vm_readv” et “process_vm_writev”. Et tous les processus s'exécutent avec le même ID utilisateur, même le nouveau processus créé pour l'extension externe. Cela signifie qu'une extension externe a un accès complet en lecture et en écriture à la mémoire heap de Rapid, par conception.

De plus, bien que les extensions Lambda aient la capacité de s'abonner aux événements d'invocation, AWS ne révèle pas les données brutes à ces extensions. Cela garantit que les extensions ne peuvent pas accéder aux informations sensibles transmises via la requête HTTP.

Le processus Init (Rapid) surveille toutes les requêtes API à http://127.0.0.1:9001 tandis que les extensions Lambda sont initialisées et s'exécutent avant l'exécution de tout code d'exécution, mais après Rapid.

La variable AWS_LAMBDA_RUNTIME_API indique l'adresse IP et le numéro de port de l'API Rapid aux processus d'exécution enfants et aux extensions supplémentaires.

Parce que les extensions s'exécutent avant tout code d'exécution, modifier la variable d'environnement influencera le processus d'exécution (par exemple, Python, Java, Node, Ruby) lors de son démarrage. De plus, les extensions chargées après la nôtre, qui dépendent de cette variable, passeront également par notre extension. Cette configuration pourrait permettre à un logiciel malveillant de contourner complètement les mesures de sécurité ou les extensions de journalisation directement dans l'environnement d'exécution.

L'outil lambda-spy a été créé pour effectuer cette écriture en mémoire et voler des informations sensibles des requêtes lambda, d'autres requêtes d'extensions et même les modifier.

Références

• https://aws.amazon.com/blogs/compute/building-extensions-for-aws-lambda-in-preview/
• https://www.clearvector.com/blog/lambda-spy/