AWS - SNS Post Exploitation

Reading time: 4 minutes

SNS

Pour plus d'informations :

AWS - SNS Enum

Perturbation des messages

Dans plusieurs cas, les SNS topics sont utilisés pour envoyer des messages vers des plateformes surveillées (emails, slack messages...). Si un attaquant empêche l'envoi des messages qui alertent de sa présence dans le cloud, il pourrait rester indétecté.

sns:DeleteTopic

Un attaquant pourrait supprimer un SNS topic entier, entraînant la perte de messages et affectant les applications qui dépendent de ce topic.

aws sns delete-topic --topic-arn <value>

Impact potentiel : Perte de messages et interruption de service pour les applications utilisant le topic supprimé.

sns:Publish

Un attaquant pourrait envoyer des messages malveillants ou indésirables au SNS topic, provoquant potentiellement la corruption de données, le déclenchement d'actions involontaires, ou l'épuisement des ressources.

aws sns publish --topic-arn <value> --message <value>

Impact potentiel : corruption de données, actions non désirées ou épuisement des ressources.

sns:SetTopicAttributes

Un attaquant pourrait modifier les attributs d'un topic SNS, affectant potentiellement ses performances, sa sécurité ou sa disponibilité.

aws sns set-topic-attributes --topic-arn <value> --attribute-name <value> --attribute-value <value>

Impact potentiel : Mauvaise(s) configuration(s) entraînant une dégradation des performances, des problèmes de sécurité ou une disponibilité réduite.

sns:Subscribe , sns:Unsubscribe

Un attaquant pourrait s'abonner ou se désabonner d'un topic SNS, obtenant potentiellement un accès non autorisé aux messages ou perturbant le fonctionnement normal des applications s'appuyant sur ce topic.

aws sns subscribe --topic-arn <value> --protocol <value> --endpoint <value>
aws sns unsubscribe --subscription-arn <value>

Potential Impact: Accès non autorisé aux messages, interruption de service pour les applications qui dépendent du topic affecté.

sns:AddPermission , sns:RemovePermission

Un attaquant pourrait accorder à des utilisateurs ou des services non autorisés l'accès à un topic SNS, ou révoquer les permissions d'utilisateurs légitimes, provoquant des perturbations dans le fonctionnement normal des applications qui s'appuient sur le topic.

aws sns add-permission --topic-arn <value> --label <value> --aws-account-id <value> --action-name <value>
aws sns remove-permission --topic-arn <value> --label <value>

Impact potentiel: Accès non autorisé au topic, exposition des messages, ou manipulation du topic par des utilisateurs ou services non autorisés, perturbation du fonctionnement normal des applications s'appuyant sur le topic.

sns:TagResource , sns:UntagResource

Un attaquant pourrait ajouter, modifier ou supprimer des tags sur les ressources SNS, perturbant l'allocation des coûts de votre organisation, le suivi des ressources et les politiques de contrôle d'accès basées sur les tags.

aws sns tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws sns untag-resource --resource-arn <value> --tag-keys <key>

Impact potentiel : Perturbation de l'allocation des coûts, du suivi des ressources et des politiques de contrôle d'accès basées sur les tags.

Autres techniques de Post-Exploitation SNS

AWS - SNS Message Data Protection Bypass via Policy Downgrade

SNS FIFO Archive Replay Exfiltration via Attacker SQS FIFO Subscription

AWS - SNS to Kinesis Firehose Exfiltration (Fanout to S3)