Escalada de privilegios IAM
¿Qué es Escalada de privilegios IAM?
Escalada de privilegios IAMAbuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
La escalada de privilegios IAM en entornos cloud ocurre cuando un principal con permisos limitados usa acciones legitimas de la API para elevarse a privilegios mas amplios o administrativos. Rutas habituales en AWS incluyen iam:CreateAccessKey sobre otro usuario, iam:PutUserPolicy, sts:AssumeRole hacia un rol privilegiado, lambda:UpdateFunctionCode con un rol potente o abuso de passrole via ec2:RunInstances. Existen rutas equivalentes en Azure (asignacion de roles) y GCP (setIamPolicy). Herramientas como Pacu y PMapper enumeran estas cadenas automaticamente. Las defensas limitan iam:Pass, iam:Put y *:Update, aplican permission boundaries y SCPs, registran todo en CloudTrail y alertan ante combinaciones peligrosas.
● Ejemplos
- 01
Un usuario de solo lectura con iam:CreateAccessKey sobre un usuario admin crea nuevas claves y obtiene acceso total.
- 02
Actualizar el codigo de una funcion Lambda mientras esta corre con AdministratorAccess.
● Preguntas frecuentes
¿Qué es Escalada de privilegios IAM?
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Escalada de privilegios IAM?
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
¿Cómo funciona Escalada de privilegios IAM?
La escalada de privilegios IAM en entornos cloud ocurre cuando un principal con permisos limitados usa acciones legitimas de la API para elevarse a privilegios mas amplios o administrativos. Rutas habituales en AWS incluyen iam:CreateAccessKey sobre otro usuario, iam:PutUserPolicy, sts:AssumeRole hacia un rol privilegiado, lambda:UpdateFunctionCode con un rol potente o abuso de passrole via ec2:RunInstances. Existen rutas equivalentes en Azure (asignacion de roles) y GCP (setIamPolicy). Herramientas como Pacu y PMapper enumeran estas cadenas automaticamente. Las defensas limitan iam:Pass, iam:Put y *:Update, aplican permission boundaries y SCPs, registran todo en CloudTrail y alertan ante combinaciones peligrosas.
¿Cómo defenderse de Escalada de privilegios IAM?
Las defensas contra Escalada de privilegios IAM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Escalada de privilegios IAM?
Nombres alternativos comunes: Privesc en la nube, Escalada IAM.
● Términos relacionados
- cloud-security№ 186
Filtracion de claves cloud
Exposicion accidental de claves cloud de larga duracion en repositorios publicos, imagenes de contenedor, logs o codigo cliente, a menudo abusadas en minutos.
- cloud-security№ 190
Robo de tokens en la nube
Robo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
- cloud-security№ 255
Hallazgo CSPM
Alerta generada por una herramienta de Cloud Security Posture Management cuando un recurso cloud incumple un benchmark, politica o regla de cumplimiento.
- cloud-security№ 598
Ataque a cluster de Kubernetes
Intrusion contra un cluster de Kubernetes (K8s) que abusa de APIs expuestas, RBAC debil o cargas vulnerables para hacerse con el control plano o los nodos.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.