AWS - SNS Post Exploitation

Reading time: 4 minutes

SNS

Per maggiori informazioni:

AWS - SNS Enum

Interrompere i messaggi

In diversi casi, gli SNS topics vengono usati per inviare messaggi a piattaforme monitorate (email, slack messages...). Se un attaccante impedisce l'invio dei messaggi che segnalano la sua presenza nel cloud, potrebbe rimanere inosservato.

sns:DeleteTopic

Un attaccante potrebbe cancellare un intero SNS topic, causando perdita di messaggi e impattando le applicazioni che si basano su quel topic.

aws sns delete-topic --topic-arn <value>

Impatto potenziale: Perdita di messaggi e interruzione del servizio per le applicazioni che usano il topic eliminato.

sns:Publish

Un attacker potrebbe inviare messaggi malevoli o indesiderati al topic SNS, causando potenzialmente la corruzione dei dati, l'attivazione di azioni non intenzionate o l'esaurimento delle risorse.

aws sns publish --topic-arn <value> --message <value>

Impatto potenziale: Corruzione dei dati, azioni non intenzionali o esaurimento delle risorse.

sns:SetTopicAttributes

Un attaccante potrebbe modificare gli attributi di un topic SNS, influenzandone potenzialmente le prestazioni, la sicurezza o la disponibilità.

aws sns set-topic-attributes --topic-arn <value> --attribute-name <value> --attribute-value <value>

Potential Impact: Configurazioni errate che possono portare a prestazioni degradate, problemi di sicurezza o disponibilità ridotta.

sns:Subscribe , sns:Unsubscribe

Un attacker potrebbe iscriversi o annullare l'iscrizione a un SNS topic, ottenendo potenzialmente accesso non autorizzato ai messaggi o interrompendo il normale funzionamento delle applicazioni che si basano su quel topic.

aws sns subscribe --topic-arn <value> --protocol <value> --endpoint <value>
aws sns unsubscribe --subscription-arn <value>

Impatto potenziale: Accesso non autorizzato ai messaggi, interruzione del servizio per applicazioni che dipendono dal topic interessato.

sns:AddPermission , sns:RemovePermission

Un attacker potrebbe concedere a utenti o servizi non autorizzati l'accesso a un SNS topic, oppure revocare i permessi per utenti legittimi, causando interruzioni nel normale funzionamento delle applicazioni che si basano sul topic.

aws sns add-permission --topic-arn <value> --label <value> --aws-account-id <value> --action-name <value>
aws sns remove-permission --topic-arn <value> --label <value>

Potenziale impatto: Accesso non autorizzato al topic, esposizione dei messaggi o manipolazione del topic da parte di utenti o servizi non autorizzati, interruzione del normale funzionamento delle applicazioni che dipendono dal topic.

sns:TagResource , sns:UntagResource

Un attaccante potrebbe aggiungere, modificare o rimuovere tag dalle risorse SNS, compromettendo l'allocazione dei costi della tua organizzazione, il tracciamento delle risorse e le policy di controllo degli accessi basate sui tag.

aws sns tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws sns untag-resource --resource-arn <value> --tag-keys <key>

Impatto potenziale: Interruzione dell'allocazione dei costi, del tracciamento delle risorse e delle politiche di controllo degli accessi basate sui tag.

More SNS Post-Exploitation Techniques

AWS - SNS Message Data Protection Bypass via Policy Downgrade

SNS FIFO Archive Replay Exfiltration via Attacker SQS FIFO Subscription

AWS - SNS to Kinesis Firehose Exfiltration (Fanout to S3)