AWS - SQS Post Exploitation

Reading time: 4 minutes

SQS

Для отримання додаткової інформації див.:

AWS - SQS Enum

sqs:SendMessage , sqs:SendMessageBatch

attacker може надсилати шкідливі або небажані повідомлення до SQS queue, що потенційно може призвести до пошкодження даних, ініціювання непередбачених дій або виснаження ресурсів.

aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>

Потенційний вплив: експлуатація вразливості, пошкодження даних, непередбачені дії або вичерпання ресурсів.

sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility

Зловмисник може отримувати, видаляти або змінювати видимість повідомлень у черзі SQS, що може призвести до втрати повідомлень, пошкодження даних або порушення роботи додатків, які залежать від цих повідомлень.

aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>

Потенційний вплив: Викрадення конфіденційної інформації, втрата повідомлень, пошкодження даних та порушення роботи сервісів для застосунків, що залежать від уражених повідомлень.

sqs:DeleteQueue

Атакуючий може видалити цілу чергу SQS, що призведе до втрати повідомлень і вплине на застосунки, які залежать від цієї черги.

aws sqs delete-queue --queue-url <value>

Potential Impact: Втрата повідомлень та збої в роботі сервісів для додатків, які використовують видалену чергу.

sqs:PurgeQueue

Зловмисник може очистити всі повідомлення в SQS черзі, що призведе до втрати повідомлень та можливих збоїв у роботі додатків, які на них покладаються.

aws sqs purge-queue --queue-url <value>

Потенційний вплив: Втрата повідомлень і порушення роботи сервісів для додатків, які покладаються на очищені повідомлення.

sqs:SetQueueAttributes

Зловмисник може змінити атрибути черги SQS, що потенційно вплине на її продуктивність, безпеку або доступність.

aws sqs set-queue-attributes --queue-url <value> --attributes <value>

Potential Impact: Неправильні налаштування, які можуть призвести до зниження продуктивності, проблем із безпекою або зменшення доступності.

sqs:TagQueue , sqs:UntagQueue

Зловмисник може додавати, змінювати або видаляти теги з ресурсів SQS, що порушить розподіл витрат у вашій організації, відстеження ресурсів та політики контролю доступу, засновані на тегах.

aws sqs tag-queue --queue-url <value> --tags Key=<key>,Value=<value>
aws sqs untag-queue --queue-url <value> --tag-keys <key>

Можливий вплив: Порушення розподілу витрат, відстеження ресурсів та політик контролю доступу на основі тегів.

sqs:RemovePermission

Зловмисник може відкликати дозволи для легітимних користувачів або сервісів, видаливши політики, пов'язані з чергою SQS. Це може призвести до збоїв у нормальному функціонуванні додатків, які покладаються на цю чергу.

aws sqs remove-permission --queue-url <value> --label <value>

Потенційний вплив: Порушення нормальної роботи додатків, що покладаються на чергу, через несанкціоноване видалення прав доступу.

Додаткові SQS Post-Exploitation Techniques

AWS – SQS DLQ Redrive Exfiltration via StartMessageMoveTask

AWS – SQS Cross-/Same-Account Injection via SNS Subscription + Queue Policy