AWS - SNS Post Exploitation

Reading time: 4 minutes

SNS

Para mais informações:

AWS - SNS Enum

Interromper Mensagens

Em vários casos, SNS topics são usados para enviar mensagens para plataformas que estão sendo monitoradas (e-mails, mensagens do slack...). Se um atacante impedir o envio das mensagens que alertam sobre sua presença na nuvem, ele pode permanecer sem ser detectado.

sns:DeleteTopic

Um atacante poderia excluir um tópico SNS inteiro, causando perda de mensagens e impactando aplicações que dependem do tópico.

aws sns delete-topic --topic-arn <value>

Impacto Potencial: Perda de mensagens e interrupção do serviço para aplicações que usam o tópico excluído.

sns:Publish

Um atacante poderia enviar mensagens maliciosas ou indesejadas para o tópico do SNS, potencialmente causando corrupção de dados, acionando ações não intencionais ou esgotando recursos.

aws sns publish --topic-arn <value> --message <value>

Impacto Potencial: Corrupção de dados, ações não intencionais ou exaustão de recursos.

sns:SetTopicAttributes

Um atacante poderia modificar os atributos de um tópico SNS, potencialmente afetando seu desempenho, segurança ou disponibilidade.

aws sns set-topic-attributes --topic-arn <value> --attribute-name <value> --attribute-value <value>

Impacto Potencial: Configurações incorretas que podem levar a desempenho degradado, problemas de segurança ou disponibilidade reduzida.

sns:Subscribe , sns:Unsubscribe

Um atacante poderia se inscrever ou cancelar a inscrição em um tópico SNS, potencialmente obtendo acesso não autorizado às mensagens ou interrompendo o funcionamento normal de aplicações que dependem do tópico.

aws sns subscribe --topic-arn <value> --protocol <value> --endpoint <value>
aws sns unsubscribe --subscription-arn <value>

Impacto Potencial: Acesso não autorizado a mensagens, interrupção de serviço para aplicações que dependem do tópico afetado.

sns:AddPermission , sns:RemovePermission

Um atacante poderia conceder a usuários ou serviços não autorizados acesso a um tópico SNS, ou revogar permissões de usuários legítimos, causando interrupções no funcionamento normal das aplicações que dependem do tópico.

aws sns add-permission --topic-arn <value> --label <value> --aws-account-id <value> --action-name <value>
aws sns remove-permission --topic-arn <value> --label <value>

Impacto Potencial: Acesso não autorizado ao tópico, exposição de mensagens ou manipulação do tópico por usuários ou serviços não autorizados, interrupção do funcionamento normal de aplicações que dependem do tópico.

sns:TagResource , sns:UntagResource

Um atacante poderia adicionar, modificar ou remover tags de recursos do SNS, prejudicando a alocação de custos da sua organização, o rastreamento de recursos e as políticas de controle de acesso baseadas em tags.

aws sns tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws sns untag-resource --resource-arn <value> --tag-keys <key>

Impacto Potencial: Interrupção da alocação de custos, rastreamento de recursos e políticas de controle de acesso baseadas em tags.

Mais técnicas de SNS Post-Exploitation Techniques

AWS - SNS Message Data Protection Bypass via Policy Downgrade

SNS FIFO Archive Replay Exfiltration via Attacker SQS FIFO Subscription

AWS - SNS to Kinesis Firehose Exfiltration (Fanout to S3)