AWS - Elastic Beanstalk Post Exploitation

Reading time: 4 minutes

Elastic Beanstalk

Pour plus d'informations :

AWS - Elastic Beanstalk Enum

elasticbeanstalk:DeleteApplicationVersion

Un attaquant avec la permission elasticbeanstalk:DeleteApplicationVersion peut supprimer une version d'application existante. Cette action pourrait perturber les pipelines de déploiement d'application ou entraîner la perte de versions spécifiques d'application si elles ne sont pas sauvegardées.

aws elasticbeanstalk delete-application-version --application-name my-app --version-label my-version

Impact potentiel : Interruption du déploiement de l'application et perte potentielle des versions de l'application.

elasticbeanstalk:TerminateEnvironment

Un attaquant ayant l'autorisation elasticbeanstalk:TerminateEnvironment peut terminer un environnement Elastic Beanstalk existant, provoquant un temps d'arrêt pour l'application et une perte potentielle de données si l'environnement n'est pas configuré pour des sauvegardes.

aws elasticbeanstalk terminate-environment --environment-name my-existing-env

Impact potentiel : Temps d'arrêt de l'application, perte de données potentielle et interruption des services.

elasticbeanstalk:DeleteApplication

Un attaquant ayant l'autorisation elasticbeanstalk:DeleteApplication peut supprimer une application Elastic Beanstalk entière, y compris toutes ses versions et environnements. Cette action pourrait entraîner une perte significative de ressources et de configurations de l'application si elles ne sont pas sauvegardées.

aws elasticbeanstalk delete-application --application-name my-app --terminate-env-by-force

Impact potentiel : Perte de ressources d'application, de configurations, d'environnements et de versions d'application, entraînant une interruption de service et une perte de données potentielle.

elasticbeanstalk:SwapEnvironmentCNAMEs

Un attaquant disposant de l'autorisation elasticbeanstalk:SwapEnvironmentCNAMEs peut échanger les enregistrements CNAME de deux environnements Elastic Beanstalk, ce qui pourrait entraîner la diffusion de la mauvaise version de l'application aux utilisateurs ou provoquer un comportement inattendu.

aws elasticbeanstalk swap-environment-cnames --source-environment-name my-env-1 --destination-environment-name my-env-2

Impact potentiel : Servir la mauvaise version de l'application aux utilisateurs ou provoquer un comportement inattendu dans l'application en raison d'environnements échangés.

elasticbeanstalk:AddTags, elasticbeanstalk:RemoveTags

Un attaquant disposant des autorisations elasticbeanstalk:AddTags et elasticbeanstalk:RemoveTags peut ajouter ou supprimer des balises sur les ressources Elastic Beanstalk. Cette action pourrait entraîner une allocation incorrecte des ressources, une facturation ou une gestion des ressources.

aws elasticbeanstalk add-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tags Key=MaliciousTag,Value=1

aws elasticbeanstalk remove-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tag-keys MaliciousTag

Impact potentiel : Allocation incorrecte des ressources, facturation ou gestion des ressources en raison de l'ajout ou de la suppression d'étiquettes.