AWS’de, sınırlı izinlere sahip saldırganların EC2 bulut sunucuları ve SageMaker dizüstü bilgisayar bulut sunucuları üzerinde daha yüksek ayrıcalıklı yürütme rolleri altında kod yürütmesine olanak tanıyan kalıcı bir ayrıcalık yükseltme tekniği.
İlk olarak 2016 yılında EC2 için Grzelak tarafından belgelenen yöntem, PassRole gibi standart IAM kontrollerini atlayarak kötü amaçlı yükleri enjekte etmek için değiştirilebilir önyükleme zamanı yapılandırmalarından yararlanıyor.
Güvenlik araştırmacısı Daniel Grzelak’ın yakın zamanda yaptığı analiz, bu modelin AWS hizmetlerinde devam ettiğini doğruluyor ve bulut bilişim ortamlarında süregelen risklerin altını çiziyor.
ec2:StartInstances, ec2:StopInstances ve ec2:ModifyInstanceAttribute izinlerine sahip saldırganlar, güçlü örnek profillerine bağlı mevcut EC2 örneklerini hedefler.
SageMaker Ayrıcalığının Yükseltilmesi
Örneği durdurarak, her yeniden başlatmada komut dosyasının yürütülmesini tetikleyen #cloud-boothook yönergesini kullanarak userData niteliğini değiştirirler.
Örneğin yeniden başlatılması, örneğin yürütme rolü bağlamında kimlik bilgilerinin sızması gibi eklenen kodu çalıştırarak tüm izinlere erişim sağlar.
AWS belgeleri, lansman sonrasında kullanıcı Verilerinde değişiklik yapılmasına hâlâ izin verdiğinden, bu teknik bugün de geçerliliğini koruyor. CloudTrail günlükleri, beklenmedik sorumlulardan gelen StopInstances → ModifyInstanceAttribute → StartInstances gibi diziler aracılığıyla saldırıyı ortaya çıkarır.
Azaltma, ec2:ModifyInstanceAttribute’un güvenilir yöneticilerle sınırlandırılmasını ve hedef rol altında rastgele kod yürütülmesine eşdeğer olarak ele alınmasını gerektirir.
Yönetilen Jupyter ortamları tarafından desteklenen Amazon SageMaker dizüstü bilgisayar bulut sunucuları, yaşam döngüsü yapılandırmaları, başlangıçta veya oluşturma sırasında yürütülen kabuk komut dosyaları aracılığıyla paralel bir vektör sunar.
sagemaker:StopNotebookInstance, sagemaker:UpdateNotebookInstance (lifecycle-config-name ile) ve sagemaker:StartNotebookInstance izinleri yükseltmeyi etkinleştirir: bir not defterini durdurun, base64 kodlu kimlik bilgileri çalma koduyla kötü amaçlı bir yaşam döngüsü yapılandırması oluşturun veya ekleyin, ardından yeniden başlatın.
Plerion’dan Daniel Grzelak, yapılandırma oluşturma aşamasından geri çağırma uç noktası yoluyla sızmaya kadar tüm zinciri gösteren kavram kanıtı bash kodunu sağladı.
SageMaker’ın dizüstü bilgisayarları, etki alanlarını ve stüdyoları kapsayan karmaşıklığı, yürütme rollerinin genellikle S3 erişimi veya model dağıtımı gibi geniş veri bilimi izinlerini taşıması nedeniyle görünürlüğü artırır.
Rhino Security Labs daha önce benzer SageMaker suiistimallerine dikkat çekmişti ancak yaşam döngüsü güncellemeleri, yapılandırma sonrası daha incelikli bir değişikliği temsil ediyor.
Temel kusur, yalnızca kaynak oluşturma sırasında gerçekleşen PassRole kontrollerinden kaynaklanıyor ve rol atamasını çalışma zamanı kod değişikliklerinden ayırıyor. Benzer modeller Lambda’yı (UpdateFunctionCode aracılığıyla), CloudFormation değişiklik kümelerini ve potansiyel olarak SageMaker Studios’u etkiler.
Saldırganlar, yürütme rolü bağımlılıklarıyla AWS API uç noktalarını sistematik olarak avlayabilir ve bu da istismarın yaygınlaşmasına olanak tanır.
Algılama, başta operasyonel olmayan kimlikler olmak üzere bilgi işlem kaynaklarındaki Durdur → Güncelle → Başlat modellerine yönelik CloudTrail izlemesine dayanır.
Önleme, yapılandırma değiştirme eylemleri etrafında en az ayrıcalıklı kapsam belirlemeyi, geniş yürütme rolü geçişlerini reddeden Hizmet Kontrol Politikalarını (SCP’ler) ve yeniden başlatmalar için onay iş akışlarını içerir.
AWS, bunları paylaşılan sorumluluk modeli kapsamında yapılandırma sorunları olarak sınıflandırarak ekipleri yürütme rolü varsayımlarını titizlikle denetlemeye teşvik eder.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
