AWS - Enumeration du Firewall Manager

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Firewall Manager

AWS Firewall Manager simplifie la gestion et la maintenance de AWS WAF, AWS Shield Advanced, groupes de sĂ©curitĂ© Amazon VPC et listes de contrĂŽle d’accĂšs rĂ©seau (ACL), ainsi que AWS Network Firewall, AWS Route 53 Resolver DNS Firewall et pare-feu tiers Ă  travers plusieurs comptes et ressources. Il vous permet de configurer vos rĂšgles de pare-feu, protections Shield Advanced, groupes de sĂ©curitĂ© VPC et paramĂštres de Network Firewall une seule fois, le service appliquant automatiquement ces rĂšgles et protections Ă  vos comptes et ressources, y compris celles nouvellement ajoutĂ©es.

Le service offre la capacité de grouper et protéger des ressources spécifiques ensemble, comme celles partageant une étiquette commune ou toutes vos distributions CloudFront. Un avantage significatif de Firewall Manager est sa capacité à étendre automatiquement la protection aux ressources nouvellement ajoutées dans votre compte.

Un groupe de rĂšgles (une collection de rĂšgles WAF) peut ĂȘtre incorporĂ© dans une politique AWS Firewall Manager, qui est ensuite liĂ©e Ă  des ressources AWS spĂ©cifiques telles que des distributions CloudFront ou des Ă©quilibreurs de charge d’application.

AWS Firewall Manager fournit des listes d’applications et de protocoles gĂ©rĂ©es pour simplifier la configuration et la gestion des politiques de groupe de sĂ©curitĂ©. Ces listes vous permettent de dĂ©finir les protocoles et applications autorisĂ©s ou refusĂ©s par vos politiques. Il existe deux types de listes gĂ©rĂ©es :

  • Listes gĂ©rĂ©es par Firewall Manager : Ces listes incluent FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed et FMS-Default-Protocols-Allowed. Elles sont gĂ©rĂ©es par Firewall Manager et incluent des applications et protocoles couramment utilisĂ©s qui devraient ĂȘtre autorisĂ©s ou refusĂ©s au grand public. Il n’est pas possible de les modifier ou de les supprimer, cependant, vous pouvez choisir sa version.
  • Listes gĂ©rĂ©es personnalisĂ©es : Vous gĂ©rez ces listes vous-mĂȘme. Vous pouvez crĂ©er des listes d’applications et de protocoles personnalisĂ©es adaptĂ©es aux besoins de votre organisation. Contrairement aux listes gĂ©rĂ©es par Firewall Manager, ces listes n’ont pas de versions, mais vous avez un contrĂŽle total sur les listes personnalisĂ©es, vous permettant de les crĂ©er, modifier et supprimer selon vos besoins.

Il est important de noter que les politiques de Firewall Manager n’autorisent que les actions “Block” ou “Count” pour un groupe de rùgles, sans option “Allow”.

Prérequis

Les Ă©tapes prĂ©alables suivantes doivent ĂȘtre complĂ©tĂ©es avant de procĂ©der Ă  la configuration de Firewall Manager pour commencer Ă  protĂ©ger efficacement les ressources de votre organisation. Ces Ă©tapes fournissent la configuration de base requise pour que Firewall Manager applique des politiques de sĂ©curitĂ© et assure la conformitĂ© dans votre environnement AWS :

  1. Rejoindre et configurer AWS Organizations : Assurez-vous que votre compte AWS fait partie de l’organisation AWS Organizations oĂč les politiques AWS Firewall Manager sont prĂ©vues pour ĂȘtre implantĂ©es. Cela permet une gestion centralisĂ©e des ressources et des politiques Ă  travers plusieurs comptes AWS au sein de l’organisation.
  2. CrĂ©er un compte administrateur par dĂ©faut AWS Firewall Manager : Établissez un compte administrateur par dĂ©faut spĂ©cifiquement pour gĂ©rer les politiques de sĂ©curitĂ© de Firewall Manager. Ce compte sera responsable de la configuration et de l’application des politiques de sĂ©curitĂ© Ă  travers l’organisation. Seul le compte de gestion de l’organisation peut crĂ©er des comptes administrateurs par dĂ©faut pour Firewall Manager.
  3. Activer AWS Config : Activez AWS Config pour fournir à Firewall Manager les données de configuration et les informations nécessaires pour appliquer efficacement les politiques de sécurité. AWS Config aide à analyser, auditer, surveiller et auditer les configurations et changements de ressources, facilitant une meilleure gestion de la sécurité.
  4. Pour les politiques tierces, abonnez-vous dans le AWS Marketplace et configurez les paramĂštres tiers : Si vous prĂ©voyez d’utiliser des politiques de pare-feu tierces, abonnez-vous Ă  celles-ci dans le AWS Marketplace et configurez les paramĂštres nĂ©cessaires. Cette Ă©tape garantit que Firewall Manager peut intĂ©grer et appliquer des politiques de fournisseurs tiers de confiance.
  5. Pour les politiques de Network Firewall et DNS Firewall, activez le partage de ressources : Activez le partage de ressources spĂ©cifiquement pour les politiques de Network Firewall et DNS Firewall. Cela permet Ă  Firewall Manager d’appliquer des protections de pare-feu Ă  vos VPC et Ă  la rĂ©solution DNS de votre organisation, renforçant la sĂ©curitĂ© du rĂ©seau.
  6. Pour utiliser AWS Firewall Manager dans des rĂ©gions qui sont dĂ©sactivĂ©es par dĂ©faut : Si vous avez l’intention d’utiliser Firewall Manager dans des rĂ©gions AWS qui sont dĂ©sactivĂ©es par dĂ©faut, assurez-vous de prendre les mesures nĂ©cessaires pour activer sa fonctionnalitĂ© dans ces rĂ©gions. Cela garantit une application cohĂ©rente de la sĂ©curitĂ© dans toutes les rĂ©gions oĂč votre organisation opĂšre.

Pour plus d’informations, consultez : Getting started with AWS Firewall Manager AWS WAF policies.

Types de politiques de protection

AWS Firewall Manager gĂšre plusieurs types de politiques pour appliquer des contrĂŽles de sĂ©curitĂ© Ă  diffĂ©rents aspects de l’infrastructure de votre organisation :

  1. Politique AWS WAF : Ce type de politique prend en charge à la fois AWS WAF et AWS WAF Classic. Vous pouvez définir quelles ressources sont protégées par la politique. Pour les politiques AWS WAF, vous pouvez spécifier des ensembles de groupes de rÚgles à exécuter en premier et en dernier dans le web ACL. De plus, les propriétaires de compte peuvent ajouter des rÚgles et des groupes de rÚgles à exécuter entre ces ensembles.
  2. Politique Shield Advanced : Cette politique applique des protections Shield Advanced à travers votre organisation pour des types de ressources spécifiés. Elle aide à protéger contre les attaques DDoS et autres menaces.
  3. Politique de groupe de sĂ©curitĂ© Amazon VPC : Avec cette politique, vous pouvez gĂ©rer les groupes de sĂ©curitĂ© utilisĂ©s dans toute votre organisation, appliquant un ensemble de rĂšgles de base Ă  travers votre environnement AWS pour contrĂŽler l’accĂšs au rĂ©seau.
  4. Politique de liste de contrĂŽle d’accĂšs rĂ©seau (ACL) Amazon VPC : Ce type de politique vous donne le contrĂŽle sur les ACL rĂ©seau utilisĂ©s dans votre organisation, vous permettant d’appliquer un ensemble de base d’ACL rĂ©seau Ă  travers votre environnement AWS.
  5. Politique de Network Firewall : Cette politique applique la protection AWS Network Firewall à vos VPC, renforçant la sécurité du réseau en filtrant le trafic en fonction de rÚgles prédéfinies.
  6. Politique de DNS Firewall Amazon Route 53 Resolver : Cette politique applique des protections DNS Firewall à vos VPC, aidant à bloquer les tentatives de résolution de domaine malveillantes et à appliquer des politiques de sécurité pour le trafic DNS.
  7. Politique de pare-feu tiers : Ce type de politique applique des protections provenant de pare-feu tiers, qui sont disponibles par abonnement via la console AWS Marketplace. Elle vous permet d’intĂ©grer des mesures de sĂ©curitĂ© supplĂ©mentaires de fournisseurs de confiance dans votre environnement AWS.
  8. Politique Palo Alto Networks Cloud NGFW : Cette politique applique des protections et des ensembles de rÚgles du pare-feu de nouvelle génération (NGFW) Palo Alto Networks Cloud à vos VPC, fournissant une prévention avancée des menaces et des contrÎles de sécurité au niveau des applications.
  9. Politique Fortigate Cloud Native Firewall (CNF) as a Service : Cette politique applique des protections Fortigate Cloud Native Firewall (CNF) as a Service, offrant une prĂ©vention des menaces de premier plan, un pare-feu d’application web (WAF) et une protection API adaptĂ©es aux infrastructures cloud.

Comptes administrateurs

AWS Firewall Manager offre de la flexibilitĂ© dans la gestion des ressources de pare-feu au sein de votre organisation grĂące Ă  son champ d’application administratif et Ă  deux types de comptes administrateurs.

Le champ d’application administratif dĂ©finit les ressources qu’un administrateur de Firewall Manager peut gĂ©rer. AprĂšs qu’un compte de gestion AWS Organizations ait intĂ©grĂ© une organisation Ă  Firewall Manager, il peut crĂ©er des administrateurs supplĂ©mentaires avec diffĂ©rents champs d’application administratifs. Ces champs peuvent inclure :

  • Comptes ou unitĂ©s organisationnelles (OU) auxquels l’administrateur peut appliquer des politiques.
  • RĂ©gions oĂč l’administrateur peut effectuer des actions.
  • Types de politiques de Firewall Manager que l’administrateur peut gĂ©rer.

Le champ d’application administratif peut ĂȘtre soit complet soit restreint. Le champ complet accorde Ă  l’administrateur l’accĂšs Ă  tous les types de ressources spĂ©cifiĂ©s, rĂ©gions et types de politiques. En revanche, le champ restreint fournit une autorisation administrative uniquement Ă  un sous-ensemble de ressources, rĂ©gions ou types de politiques. Il est conseillĂ© d’accorder aux administrateurs uniquement les autorisations dont ils ont besoin pour remplir efficacement leurs rĂŽles. Vous pouvez appliquer n’importe quelle combinaison de ces conditions de champ d’application administratif Ă  un administrateur, garantissant le respect du principe du moindre privilĂšge.

Il existe deux types distincts de comptes administrateurs, chacun ayant des rÎles et responsabilités spécifiques :

  • Administrateur par dĂ©faut :
  • Le compte administrateur par dĂ©faut est crĂ©Ă© par le compte de gestion de l’organisation AWS Organizations lors du processus d’intĂ©gration Ă  Firewall Manager.
  • Ce compte a la capacitĂ© de gĂ©rer des pare-feu tiers et possĂšde un champ d’application administratif complet.
  • Il sert de compte administrateur principal pour Firewall Manager, responsable de la configuration et de l’application des politiques de sĂ©curitĂ© Ă  travers l’organisation.
  • Bien que l’administrateur par dĂ©faut ait un accĂšs complet Ă  tous les types de ressources et fonctionnalitĂ©s administratives, il opĂšre au mĂȘme niveau de pair que d’autres administrateurs si plusieurs administrateurs sont utilisĂ©s au sein de l’organisation.
  • Administrateurs de Firewall Manager :
  • Ces administrateurs peuvent gĂ©rer des ressources dans le champ dĂ©fini par le compte de gestion AWS Organizations, tel que dĂ©fini par la configuration du champ d’application administratif.
  • Les administrateurs de Firewall Manager sont crĂ©Ă©s pour remplir des rĂŽles spĂ©cifiques au sein de l’organisation, permettant la dĂ©lĂ©gation de responsabilitĂ©s tout en maintenant des normes de sĂ©curitĂ© et de conformitĂ©.
  • Lors de leur crĂ©ation, Firewall Manager vĂ©rifie auprĂšs d’AWS Organizations pour dĂ©terminer si le compte est dĂ©jĂ  un administrateur dĂ©lĂ©guĂ©. Si ce n’est pas le cas, Firewall Manager appelle Organizations pour dĂ©signer le compte comme un administrateur dĂ©lĂ©guĂ© pour Firewall Manager.

La gestion de ces comptes administrateurs implique de les crĂ©er au sein de Firewall Manager et de dĂ©finir leurs champs d’application administratifs selon les exigences de sĂ©curitĂ© de l’organisation et le principe du moindre privilĂšge. En assignant des rĂŽles administratifs appropriĂ©s, les organisations peuvent garantir une gestion efficace de la sĂ©curitĂ© tout en maintenant un contrĂŽle granulaire sur l’accĂšs aux ressources sensibles.

Il est important de souligner que un seul compte au sein d’une organisation peut servir d’administrateur par dĂ©faut de Firewall Manager, respectant le principe de “premier arrivĂ©, dernier sorti”. Pour dĂ©signer un nouvel administrateur par dĂ©faut, une sĂ©rie d’étapes doit ĂȘtre suivie :

  • Tout d’abord, chaque compte administrateur de Firewall doit rĂ©voquer son propre compte.
  • Ensuite, l’administrateur par dĂ©faut existant peut rĂ©voquer son propre compte, dĂ©sengageant effectivement l’organisation de Firewall Manager. Ce processus entraĂźne la suppression de toutes les politiques de Firewall Manager crĂ©Ă©es par le compte rĂ©voquĂ©.
  • Pour conclure, le compte de gestion AWS Organizations doit dĂ©signer l’administrateur par dĂ©faut de Firewall Manager.

ÉnumĂ©ration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Un attaquant avec la permission fms:AssociateAdminAccount serait capable de dĂ©finir le compte administrateur par dĂ©faut du Firewall Manager. Avec la permission fms:PutAdminAccount, un attaquant pourrait crĂ©er ou mettre Ă  jour un compte administrateur du Firewall Manager et avec la permission fms:DisassociateAdminAccount, un attaquant potentiel pourrait supprimer l’association du compte administrateur actuel du Firewall Manager.

  • La dĂ©sassociation de l’administrateur par dĂ©faut du Firewall Manager suit la politique du premier entrĂ©, dernier sorti. Tous les administrateurs du Firewall Manager doivent se dĂ©sassocier avant que l’administrateur par dĂ©faut du Firewall Manager puisse dĂ©sassocier le compte.
  • Afin de crĂ©er un administrateur du Firewall Manager par PutAdminAccount, le compte doit appartenir Ă  l’organisation qui a Ă©tĂ© prĂ©cĂ©demment intĂ©grĂ©e au Firewall Manager en utilisant AssociateAdminAccount.
  • La crĂ©ation d’un compte administrateur du Firewall Manager ne peut ĂȘtre effectuĂ©e que par le compte de gestion de l’organisation.
aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Impact potentiel : Perte de gestion centralisĂ©e, contournement des politiques, violations de conformitĂ© et perturbation des contrĂŽles de sĂ©curitĂ© au sein de l’environnement.

fms:PutPolicy, fms:DeletePolicy

Un attaquant disposant des autorisations fms:PutPolicy, fms:DeletePolicy serait en mesure de créer, modifier ou supprimer définitivement une politique AWS Firewall Manager.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Un exemple de politique permissive Ă  travers un groupe de sĂ©curitĂ© permissif, afin de contourner la dĂ©tection, pourrait ĂȘtre le suivant :

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": [
"AWS::EC2::Instance",
"AWS::EC2::NetworkInterface",
"AWS::EC2::SecurityGroup",
"AWS::ElasticLoadBalancingV2::LoadBalancer",
"AWS::ElasticLoadBalancing::LoadBalancer"
],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Impact potentiel : DĂ©mantĂšlement des contrĂŽles de sĂ©curitĂ©, Ă©vasion des politiques, violations de conformitĂ©, perturbations opĂ©rationnelles et violations potentielles de donnĂ©es au sein de l’environnement.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Un attaquant disposant des permissions fms:BatchAssociateResource et fms:BatchDisassociateResource serait en mesure d’associer ou de dissocier des ressources d’un ensemble de ressources de Firewall Manager respectivement. De plus, les permissions fms:PutResourceSet et fms:DeleteResourceSet permettraient Ă  un attaquant de crĂ©er, modifier ou supprimer ces ensembles de ressources depuis AWS Firewall Manager.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Impact potentiel : L’ajout d’un nombre inutile d’élĂ©ments Ă  un ensemble de ressources augmentera le niveau de bruit dans le Service, pouvant potentiellement causer un DoS. De plus, des modifications des ensembles de ressources pourraient entraĂźner une disruption des ressources, une Ă©vasion de politique, des violations de conformitĂ© et une disruption des contrĂŽles de sĂ©curitĂ© au sein de l’environnement.

fms:PutAppsList, fms:DeleteAppsList

Un attaquant avec les permissions fms:PutAppsList et fms:DeleteAppsList serait capable de crĂ©er, modifier ou supprimer des listes d’applications depuis AWS Firewall Manager. Cela pourrait ĂȘtre critique, car des applications non autorisĂ©es pourraient se voir accorder l’accĂšs au grand public, ou l’accĂšs Ă  des applications autorisĂ©es pourrait ĂȘtre refusĂ©, causant un DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Impact potentiel : Cela pourrait entraĂźner des erreurs de configuration, une Ă©vasion de politique, des violations de conformitĂ© et une perturbation des contrĂŽles de sĂ©curitĂ© au sein de l’environnement.

fms:PutProtocolsList, fms:DeleteProtocolsList

Un attaquant disposant des autorisations fms:PutProtocolsList et fms:DeleteProtocolsList serait en mesure de crĂ©er, modifier ou supprimer des listes de protocoles depuis AWS Firewall Manager. De la mĂȘme maniĂšre que pour les listes d’applications, cela pourrait ĂȘtre critique puisque des protocoles non autorisĂ©s pourraient ĂȘtre utilisĂ©s par le grand public, ou l’utilisation de protocoles autorisĂ©s pourrait ĂȘtre refusĂ©e, entraĂźnant un DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Impact potentiel : Cela pourrait entraĂźner des erreurs de configuration, une Ă©vasion de politique, des violations de conformitĂ© et une perturbation des contrĂŽles de sĂ©curitĂ© au sein de l’environnement.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Un attaquant disposant des autorisations fms:PutNotificationChannel et fms:DeleteNotificationChannel serait en mesure de supprimer et de désigner le rÎle IAM et le sujet Amazon Simple Notification Service (SNS) que Firewall Manager utilise pour enregistrer les journaux SNS.

Pour utiliser fms:PutNotificationChannel en dehors de la console, vous devez configurer la politique d’accĂšs du sujet SNS, permettant au SnsRoleName spĂ©cifiĂ© de publier des journaux SNS. Si le SnsRoleName fourni est un rĂŽle autre que le AWSServiceRoleForFMS, il nĂ©cessite une relation de confiance configurĂ©e pour permettre au principal de service Firewall Manager fms.amazonaws.com d’assumer ce rĂŽle.

Pour des informations sur la configuration d’une politique d’accùs SNS :

AWS - SNS Enum

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Impact potentiel : Cela pourrait potentiellement entraĂźner des alertes de sĂ©curitĂ© manquĂ©es, un retard dans la rĂ©ponse aux incidents, des violations de donnĂ©es potentielles et des perturbations opĂ©rationnelles au sein de l’environnement.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Un attaquant avec les permissions fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall serait capable d’associer ou de dissocier des pare-feu tiers pour ĂȘtre gĂ©rĂ©s de maniĂšre centralisĂ©e via AWS Firewall Manager.

Warning

Seul l’administrateur par dĂ©faut peut crĂ©er et gĂ©rer des pare-feu tiers.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Impact potentiel : La dĂ©sassociation entraĂźnerait une Ă©vasion de politique, des violations de conformitĂ© et une perturbation des contrĂŽles de sĂ©curitĂ© au sein de l’environnement. L’association, en revanche, entraĂźnerait une perturbation de l’allocation des coĂ»ts et du budget.

fms:TagResource, fms:UntagResource

Un attaquant pourrait ajouter, modifier ou supprimer des balises des ressources de Firewall Manager, perturbant l’allocation des coĂ»ts de votre organisation, le suivi des ressources et les politiques de contrĂŽle d’accĂšs basĂ©es sur les balises.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Impact potentiel : Perturbation de l’allocation des coĂ»ts, du suivi des ressources et des politiques de contrĂŽle d’accĂšs basĂ©es sur des balises.

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks