AWS - Macie Privesc

Reading time: 2 minutes

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

Macie

Macie에 대한 자세한 정보는 다음을 확인하세요:

AWS - Macie Enum

Amazon Macie - Reveal Sample 무결성 검사 우회

AWS Macie는 AWS 환경 내에서 자격 증명, 개인 식별 정보(PII) 및 기타 기밀 데이터와 같은 민감한 데이터를 자동으로 감지하는 보안 서비스입니다. Macie가 S3 버킷에 저장된 AWS 비밀 키와 같은 민감한 자격 증명을 식별하면, 소유자가 감지된 데이터의 "샘플"을 볼 수 있도록 하는 발견 결과를 생성합니다. 일반적으로 민감한 파일이 S3 버킷에서 제거되면 비밀을 더 이상 검색할 수 없다고 예상됩니다.

그러나 충분한 권한을 가진 공격자가 같은 이름의 파일을 다시 업로드할 수 있는 우회가 확인되었습니다. 이 파일은 다른 비민감 더미 데이터로 구성됩니다. 이로 인해 Macie는 새로 업로드된 파일을 원래 발견 결과와 연관짓게 되어, 공격자가 "Reveal Sample" 기능을 사용하여 이전에 감지된 비밀을 추출할 수 있습니다. 이 문제는 삭제된 것으로 간주된 비밀이 이 방법을 통해 여전히 검색 가능하므로 상당한 보안 위험을 초래합니다.

flow

재현 단계:

  1. 민감한 데이터(예: AWS 비밀 키)가 포함된 파일(예: test-secret.txt)을 S3 버킷에 업로드합니다. AWS Macie가 스캔하고 발견 결과를 생성할 때까지 기다립니다.

  2. AWS Macie 발견 결과로 이동하여 생성된 발견 결과를 찾고 Reveal Sample 기능을 사용하여 감지된 비밀을 봅니다.

  3. S3 버킷에서 test-secret.txt를 삭제하고 더 이상 존재하지 않는지 확인합니다.

  4. 더미 데이터로 새 파일 test-secret.txt를 만들고 공격자의 계정을 사용하여 동일한 S3 버킷에 다시 업로드합니다.

  5. AWS Macie 발견 결과로 돌아가 원래 발견 결과에 접근하고 Reveal Sample을 다시 클릭합니다.

  6. 파일이 삭제되고 다른 내용으로 교체되었음에도 불구하고 Macie가 여전히 원래 비밀을 공개하는 것을 관찰합니다. 다른 계정에서, 이 경우 공격자의 계정이 될 것입니다.

요약:

이 취약점은 충분한 AWS IAM 권한을 가진 공격자가 S3에서 원래 파일이 삭제된 후에도 이전에 감지된 비밀을 복구할 수 있게 합니다. AWS 비밀 키, 액세스 토큰 또는 기타 민감한 자격 증명이 노출되면, 공격자는 이 결함을 이용하여 이를 검색하고 AWS 리소스에 무단으로 접근할 수 있습니다. 이는 권한 상승, 무단 데이터 접근 또는 클라우드 자산의 추가 손상을 초래할 수 있으며, 데이터 유출 및 서비스 중단으로 이어질 수 있습니다.