AWS - Elastic Beanstalk Post Exploitation

Reading time: 4 minutes

Elastic Beanstalk

Pour plus d'informations :

AWS - Elastic Beanstalk Enum

elasticbeanstalk:DeleteApplicationVersion

Un attaquant disposant de la permission elasticbeanstalk:DeleteApplicationVersion peut supprimer une version d'application existante. Cette action pourrait perturber les pipelines de déploiement de l'application ou entraîner la perte de versions d'application spécifiques si elles ne sont pas sauvegardées.

aws elasticbeanstalk delete-application-version --application-name my-app --version-label my-version

Impact potentiel : perturbation du déploiement de l'application et perte potentielle des versions de l'application.

elasticbeanstalk:TerminateEnvironment

Un attaquant disposant de l'autorisation elasticbeanstalk:TerminateEnvironment peut terminer un environnement Elastic Beanstalk existant, provoquant une indisponibilité de l'application et une perte potentielle de données si l'environnement n'est pas configuré pour les sauvegardes.

aws elasticbeanstalk terminate-environment --environment-name my-existing-env

Impact potentiel: Indisponibilité de l'application, perte potentielle de données et interruption des services.

elasticbeanstalk:DeleteApplication

Un attaquant disposant de l'autorisation elasticbeanstalk:DeleteApplication peut supprimer entièrement une application Elastic Beanstalk, y compris toutes ses versions et environnements. Cette action pourrait entraîner une perte importante de ressources et de configurations de l'application si elles ne sont pas sauvegardées.

aws elasticbeanstalk delete-application --application-name my-app --terminate-env-by-force

Impact potentiel : Perte de ressources applicatives, de configurations, d'environnements et de versions d'application, entraînant une interruption de service et une perte potentielle de données.

elasticbeanstalk:SwapEnvironmentCNAMEs

Un attaquant disposant de l'autorisation elasticbeanstalk:SwapEnvironmentCNAMEs peut échanger les enregistrements CNAME de deux environnements Elastic Beanstalk, ce qui peut entraîner la diffusion d'une mauvaise version de l'application aux utilisateurs ou provoquer un comportement indésirable.

aws elasticbeanstalk swap-environment-cnames --source-environment-name my-env-1 --destination-environment-name my-env-2

Impact potentiel: Servir la mauvaise version de l'application aux utilisateurs ou provoquer un comportement inattendu dans l'application en raison d'environnements permutés.

elasticbeanstalk:AddTags, elasticbeanstalk:RemoveTags

Un attaquant disposant des permissions elasticbeanstalk:AddTags et elasticbeanstalk:RemoveTags peut ajouter ou supprimer des étiquettes sur les ressources Elastic Beanstalk. Cette action pourrait entraîner une mauvaise allocation des ressources, une facturation incorrecte ou une gestion erronée des ressources.

aws elasticbeanstalk add-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tags Key=MaliciousTag,Value=1

aws elasticbeanstalk remove-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tag-keys MaliciousTag

Impact potentiel: Mauvaise allocation des ressources, facturation erronée ou mauvaise gestion des ressources en raison de l'ajout ou de la suppression d'étiquettes.