AWS - SQS Post Exploitation

Reading time: 4 minutes

SQS

Per maggiori informazioni consulta:

AWS - SQS Enum

sqs:SendMessage , sqs:SendMessageBatch

Un attaccante potrebbe inviare messaggi maligni o indesiderati alla coda SQS, potenzialmente causando corruzione dei dati, innescando azioni non intenzionali o esaurendo le risorse.

aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>

Impatto potenziale: Sfruttamento di vulnerabilità, corruzione dei dati, azioni non intenzionali o esaurimento delle risorse.

sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility

Un attacker potrebbe ricevere, cancellare o modificare la visibilità dei messaggi in una coda SQS, causando perdita di messaggi, corruzione dei dati o interruzione del servizio per le applicazioni che dipendono da tali messaggi.

aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>

Impatto potenziale: Furto di informazioni sensibili, perdita di messaggi, corruzione dei dati e interruzione del servizio per le applicazioni che si basano sui messaggi interessati.

sqs:DeleteQueue

Un attacker potrebbe eliminare un'intera SQS queue, causando la perdita di messaggi e compromettendo le applicazioni che dipendono dalla queue.

aws sqs delete-queue --queue-url <value>

Impatto potenziale: Perdita di messaggi e interruzione del servizio per le applicazioni che utilizzano la coda eliminata.

sqs:PurgeQueue

Un attaccante potrebbe eliminare tutti i messaggi da una coda SQS, causando la perdita dei messaggi e potenziali interruzioni per le applicazioni che si basano su quei messaggi.

aws sqs purge-queue --queue-url <value>

Impatto potenziale: Perdita di messaggi e interruzione del servizio per le applicazioni che si basano sui messaggi eliminati.

sqs:SetQueueAttributes

Un attacker potrebbe modificare gli attributi di una coda SQS, influenzandone potenzialmente le prestazioni, la sicurezza o la disponibilità.

aws sqs set-queue-attributes --queue-url <value> --attributes <value>

Impatto potenziale: Errate configurazioni che portano a prestazioni degradate, problemi di sicurezza o ridotta disponibilità.

sqs:TagQueue , sqs:UntagQueue

An attacker potrebbe aggiungere, modificare o rimuovere tag dalle risorse SQS, compromettendo l'allocazione dei costi della tua organizzazione, il tracciamento delle risorse e le politiche di controllo degli accessi basate sui tag.

aws sqs tag-queue --queue-url <value> --tags Key=<key>,Value=<value>
aws sqs untag-queue --queue-url <value> --tag-keys <key>

Impatto potenziale: Interruzione dell'allocazione dei costi, del monitoraggio delle risorse e delle policy di controllo accessi basate sui tag.

sqs:RemovePermission

Un attaccante potrebbe revocare i permessi a utenti o servizi legittimi rimuovendo le policy associate alla SQS queue. Ciò potrebbe causare interruzioni nel normale funzionamento delle applicazioni che si basano sulla SQS queue.

aws sqs remove-permission --queue-url <value> --label <value>

Impatto potenziale: Interruzione del normale funzionamento delle applicazioni che si basano sulla coda a causa della rimozione non autorizzata dei permessi.

Altre tecniche di post-exploitation per SQS

AWS – SQS DLQ Redrive Exfiltration via StartMessageMoveTask

AWS – SQS Cross-/Same-Account Injection via SNS Subscription + Queue Policy