AWS - Inspector Enum
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector is 'n gevorderde, geoutomatiseerde kwesbaarheidbestuurdiens wat ontwerp is om die sekuriteit van jou AWS-omgewing te verbeter. Hierdie diens skandeer voortdurend Amazon EC2-instances, houerbeelde in Amazon ECR, Amazon ECS, en AWS Lambda-funksies vir kwesbaarhede en onbedoelde netwerkblootstelling. Deur gebruik te maak van 'n robuuste kwesbaarheidintelligensiedatabasis, bied Amazon Inspector gedetailleerde bevindings, insluitend ernsvlakke en herstelvoorstelle, wat organisasies help om proaktief sekuriteitsrisiko's te identifiseer en aan te spreek. Hierdie omvattende benadering verseker 'n versterkte sekuriteitsposisie oor verskeie AWS-dienste, wat help met nakoming en risiko-bestuur.
Bevindings in Amazon Inspector is gedetailleerde verslae oor kwesbaarhede en blootstellings wat tydens die skandering van EC2-instances, ECR-repositories, of Lambda-funksies ontdek is. Gebaseer op sy toestand, word bevindings gekategoriseer as:
Aktief: Die bevinding is nie herstel nie.
Gesluit: Die bevinding is herstel.
Onderdruk: Die bevinding is met hierdie toestand gemerk weens een of meer onderdrukking reëls.
Bevindings word ook in die volgende drie tipes gekategoriseer:
Pakket: Hierdie bevindings hou verband met kwesbaarhede in sagtewarepakkette wat op jou hulpbronne geïnstalleer is. Voorbeelde sluit verouderde biblioteke of afhanklikhede met bekende sekuriteitskwessies in.
Kode: Hierdie kategorie sluit kwesbaarhede in die kode van toepassings wat op jou AWS-hulpbronne loop in. Algemene probleme is koderingfoute of onveilige praktyke wat tot sekuriteitsbreuke kan lei.
Netwerk: Netwerkbevindinge identifiseer potensiële blootstellings in netwerkkonfigurasies wat deur aanvallers benut kan word. Hierdie sluit oop poorte, onveilige netwerkprotokolle, en verkeerd geconfigureerde sekuriteitsgroepe in.
Filters en onderdrukking reëls in Amazon Inspector help om bevindings te bestuur en te prioriseer. Filters laat jou toe om bevindings te verfyn op grond van spesifieke kriteria, soos erns of hulpbron tipe. Onderdrukking reëls laat jou toe om sekere bevindings te onderdruk wat as lae risiko beskou word, reeds gemitigeer is, of vir enige ander belangrike rede, wat voorkom dat hulle jou sekuriteitsverslae oorlaai en jou toelaat om op meer kritieke kwessies te fokus.
'n Sagteware Bill of Materials (SBOM) in Amazon Inspector is 'n uitvoerbare geneste inventarislis wat al die komponente binne 'n sagtewarepakket in detail uiteensit, insluitend biblioteke en afhanklikhede. SBOMs help om deursigtigheid in die sagteware voorsieningsketting te bied, wat beter kwesbaarheidbestuur en nakoming moontlik maak. Hulle is van kardinale belang om risiko's wat verband hou met oopbron en derdeparty-sagtewarekomponente te identifiseer en te verminder.
Amazon Inspector bied die vermoë om bevindings na Amazon S3 Buckets, Amazon EventBridge en AWS Security Hub te eksporteer, wat jou in staat stel om gedetailleerde verslae van geïdentifiseerde kwesbaarhede en blootstellings vir verdere analise of deel op 'n spesifieke datum en tyd te genereer. Hierdie kenmerk ondersteun verskeie uitvoerformate soos CSV en JSON, wat dit makliker maak om met ander gereedskap en stelsels te integreer. Die uitvoerfunksionaliteit laat aanpassing van die data wat in die verslae ingesluit is toe, wat jou in staat stel om bevindings te filter op grond van spesifieke kriteria soos erns, hulpbron tipe, of datumbereik en sluit standaard al jou bevindings in die huidige AWS Region met 'n Aktiewe status in.
Wanneer bevindings uitgevoer word, is 'n Key Management Service (KMS) sleutel nodig om die data tydens uitvoer te enkripteer. KMS sleutels verseker dat die uitgevoerde bevindings teen ongemagtigde toegang beskerm word, wat 'n ekstra laag van sekuriteit vir sensitiewe kwesbaarheidinligting bied.
Amazon Inspector bied robuuste skandeervermoëns vir Amazon EC2-instances om kwesbaarhede en sekuriteitskwessies te ontdek. Inspector het ontginde metadata van die EC2-instance vergelyk met reëls van sekuriteitsadvies om pakketskwesbaarhede en netwerkbereikbaarheidkwessies te produseer. Hierdie skanderings kan uitgevoer word deur agent-gebaseerde of agentlose metodes, afhangende van die skandeermodus instellingskonfigurasie van jou rekening.
Agent-GeBASEER: Gebruik die AWS Systems Manager (SSM) agent om diepgaande skanderings uit te voer. Hierdie metode laat vir omvattende dataversameling en -analise direk vanaf die instance toe.
Agentlose: Bied 'n liggewig alternatief wat nie die installering van 'n agent op die instance vereis nie, deur 'n EBS-snapshot van elke volume van die EC2-instance te skep, op soek na kwesbaarhede, en dit dan te verwyder; gebruik bestaande AWS-infrastruktuur vir skandering.
Die skandeermodus bepaal watter metode gebruik sal word om EC2-skanderings uit te voer:
Agent-GeBASEER: Betrek die installering van die SSM-agent op EC2-instances vir diep inspeksie.
Hibrid Skandering: Kombineer beide agent-gebaseerde en agentlose metodes om dekking te maksimeer en prestasie-impak te minimaliseer. In daardie EC2-instances waar die SSM-agent geïnstalleer is, sal Inspector 'n agent-gebaseerde skandering uitvoer, en vir diegene waar daar geen SSM-agent is nie, sal die skandering agentloos wees.
Nog 'n belangrike kenmerk is die diepe inspeksie vir EC2 Linux-instances. Hierdie kenmerk bied deeglike analise van die sagteware en konfigurasie van EC2 Linux-instances, wat gedetailleerde kwesbaarheidbeoordelings bied, insluitend bedryfstelsels kwesbaarhede, toepassings kwesbaarhede, en misconfigurasies, wat 'n omvattende sekuriteitsevaluasie verseker. Dit word bereik deur die inspeksie van aangepaste paaie en al sy sub-gidse. Standaard sal Amazon Inspector die volgende skandeer, maar elke lidrekening kan tot 5 meer aangepaste paaie definieer, en elke gedelegeerde administrateur tot 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector bied robuuste skandeervermoëns vir Amazon Elastic Container Registry (ECR) houerbeelde, wat verseker dat pakketskwesbaarhede doeltreffend opgespoor en bestuur word.
Basiese Skandering: Dit is 'n vinnige en liggewig skandering wat bekende OS-pakkette kwesbaarhede in houerbeelde identifiseer met behulp van 'n standaard stel reëls van die oopbron Clair-projek. Met hierdie skandeer konfigurasie, sal jou repositories geskandeer word op push, of deur handmatige skanderings uit te voer.
Verbeterde Skandering: Hierdie opsie voeg die deurlopende skandeerfunksie by, benewens die op push skandering. Verbeterde skandering delf dieper in die lae van elke houerbeeld om kwesbaarhede in OS-pakkette en in programmeringstaal pakkette met hoër akkuraatheid te identifiseer. Dit analiseer beide die basisbeeld en enige addisionele lae, wat 'n omvattende oorsig van potensiële sekuriteitskwessies bied.
Amazon Inspector sluit omvattende skandeervermoëns in vir AWS Lambda funksies en sy lae, wat die sekuriteit en integriteit van serverless toepassings verseker. Inspector bied twee tipes skandering vir Lambda funksies:
Lambda standaard skandering: Hierdie standaard kenmerk identifiseer sagteware kwesbaarhede in die toepassingspakket afhanklikhede wat by jou Lambda-funksie en lae gevoeg is. Byvoorbeeld, as jou funksie 'n weergawe van 'n biblioteek soos python-jwt met 'n bekende kwesbaarheid gebruik, genereer dit 'n bevinding.
Lambda kode skandering: Analiseer aangepaste toepassingskode vir sekuriteitskwessies, wat kwesbaarhede soos inspuitingsfoute, datalekke, swak kriptografie, en ontbrekende enkripsie opspoor. Dit vang kode-snippets wat gedetecteerde kwesbaarhede uitlig, soos hardgecodeerde akrediteer. Bevindings sluit gedetailleerde herstelvoorstelle en kode-snippets in om die kwessies op te los.
Amazon Inspector sluit CIS skanderings in om Amazon EC2 instance bedryfstelsels teen beste praktyk aanbevelings van die Center for Internet Security (CIS) te benchmark. Hierdie skanderings verseker dat konfigurasies voldoen aan bedryfstandaard sekuriteitsbaselines.
Konfigurasie: CIS skanderings evalueer of stelsels konfigurasies aan spesifieke CIS Benchmark aanbevelings voldoen, met elke kontrole wat aan 'n CIS kontrole ID en titel gekoppel is.
Uitvoering: Skanderings word uitgevoer of geskeduleer op grond van instance etikette en gedefinieerde skedules.
Resultate: Na-skandering resultate dui aan watter kontroles geslaag het, oorgeslaan is, of gefaal het, wat insig bied in die sekuriteitsposisie van elke instance.
Vanuit 'n aanvaller se perspektief kan hierdie diens die aanvaller help om kwesbaarhede en netwerkblootstellings te vind wat hom kan help om ander instansies/tenks te kompromitteer.
egter, 'n aanvaller kan ook belangstel om hierdie diens te ontwrig sodat die slagoffer nie kwesbaarhede kan sien nie (alle of spesifieke).
inspector2:CreateFindingsReport, inspector2:CreateSBOMReport'n Aanvaller kan gedetailleerde verslae van kwesbaarhede of sagteware rekening van materiale (SBOMs) genereer en dit uit jou AWS omgewing uitvoer. Hierdie inligting kan benut word om spesifieke swakpunte, verouderde sagteware, of onveilige afhanklikhede te identifiseer, wat gerigte aanvalle moontlik maak.
Skep 'n Amazon S3-bucket en heg 'n beleid daaraan sodat dit toeganklik is vanaf die slagoffer se Amazon Inspector:
Skep 'n Amazon KMS-sleutel en heg 'n beleid daaraan sodat dit deur die slagoffer se Amazon Inspector gebruik kan word:
Voer die opdrag uit om die bevindingsverslag te skep deur dit te eksfiltreer:
Potensiële Impak: Generasie en eksfiltrasie van gedetailleerde kwesbaarheid en sagteware verslae, insig verkry in spesifieke kwesbaarhede en sekuriteits swakhede.
inspector2:CancelFindingsReport, inspector2:CancelSbomExport'n Aanvaller kan die generasie van die gespesifiseerde bevindingsverslag of SBOM-verslag kanselleer, wat verhoed dat sekuriteitspanne tydige inligting oor kwesbaarhede en sagteware rekeningkundige lys (SBOMs) ontvang, wat die opsporing en herstel van sekuriteitskwessies vertraag.
Potensiële Impak: Ontwrichting van sekuriteitsmonitering en voorkoming van tydige opsporing en herstel van sekuriteitskwessies.
inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter'n Aanvaller met hierdie toestemmings sou in staat wees om die filterreëls te manipuleer wat bepaal watter kwesbaarhede en sekuriteitskwessies gerapporteer of onderdruk word (as die aksie op SUPPRESS gestel is, sou 'n onderdrukkingsreël geskep word). Dit kan kritieke kwesbaarhede van sekuriteitsadministrateurs verberg, wat dit makliker maak om hierdie swakhede sonder opsporing te benut. Deur belangrike filters te verander of te verwyder, kan 'n aanvaller ook geraas skep deur die stelsel met irrelevante bevindings te oorstroom, wat effektiewe sekuriteitsmonitering en -reaksie belemmer.
Potensiële Impak: Verberging of onderdrukking van kritieke kwesbaarhede, of oorstroming van die stelsel met irrelevante bevindings.
inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)'n Aanvaller kan die sekuriteitsbestuursstruktuur aansienlik ontwrig.
Deur die gedelegeerde administrateurrekening te deaktiveer, kan die aanvaller die sekuriteitspan verhinder om toegang te verkry tot en die Amazon Inspector-instellings en -verslae te bestuur.
Deur 'n ongeoorloofde administrateurrekening te aktiveer, kan 'n aanvaller sekuriteitskonfigurasies beheer, wat moontlik skandeer kan deaktiveer of instellings kan wysig om kwaadwillige aktiwiteite te verberg.
Dit is vereis dat die ongeoorloofde rekening in dieselfde Organisasie as die slagoffer is om die gedelegeerde administrateur te word.
Om die ongeoorloofde rekening die gedelegeerde administrateur te laat word, is dit ook vereis dat nadat die wettige gedelegeerde administrateur gedeaktiveer is, en voordat die ongeoorloofde rekening as die gedelegeerde administrateur geaktiveer word, die wettige administrateur as die gedelegeerde administrateur van die organisasie gederegistreer moet word. Dit kan gedoen word met die volgende opdrag (organizations:DeregisterDelegatedAdministrator toestemming vereis): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Potensiële Impak: Ontwrichting van die sekuriteitsbestuur.
inspector2:AssociateMember, inspector2:DisassociateMember'n Aanvaller kan die assosiasie van lid rekeninge binne 'n Amazon Inspector-organisasie manipuleer. Deur ongeoorloofde rekeninge te assosieer of legitieme te disassosieer, kan 'n aanvaller beheer oor watter rekeninge ingesluit word in sekuriteitskanderings en verslagdoening. Dit kan lei tot kritieke rekeninge wat uitgesluit word van sekuriteitsmonitering, wat die aanvaller in staat stel om kwesbaarhede in daardie rekeninge te benut sonder opsporing.
Hierdie aksie moet deur die gedelegeerde administrateur uitgevoer word.
Potensiële Impak: Uitsluiting van sleutelrekeninge van sekuriteitsskande, wat ongekende uitbuiting van kwesbaarhede moontlik maak.
inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)'n Aanvaller met die inspector2:Disable toestemming sou in staat wees om sekuriteitsskande op spesifieke hulpbron tipes (EC2, ECR, Lambda, Lambda kode) oor die gespesifiseerde rekeninge te deaktiveer, wat dele van die AWS-omgewing onbeheerd en kwesbaar vir aanvalle laat. Daarbenewens, as gevolg van die inspector2:Enable & iam:CreateServiceLinkedRole toestemmings, kan 'n aanvaller dan selektief skande heraktiveer om opsporing van verdagte konfigurasies te vermy.
Hierdie aksie moet deur die gedelegeerde administrateur uitgevoer word.
Potensiële Impak: Skepping van blinde kolle in die sekuriteitsmonitering.
inspector2:UpdateOrganizationConfiguration'n Aanvaller met hierdie toestemming sal in staat wees om die konfigurasies vir jou Amazon Inspector-organisasie op te dateer, wat die standaard skandeerfunksies wat vir nuwe lid rekeninge geaktiveer is, beïnvloed.
Hierdie aksie moet deur die gedelegeerde administrateur uitgevoer word.
Potensiële Impak: Verander sekuriteitsskandeerbeleide en -konfigurasies vir die organisasie.
inspector2:TagResource, inspector2:UntagResource'n Aanvaller kan etikette op AWS Inspector-hulpbronne manipuleer, wat krities is vir die organiseer, opspoor en outomatiseer van sekuriteitsassesseringe. Deur etikette te verander of te verwyder, kan 'n aanvaller potensieel kwesbaarhede van sekuriteitsskande te verberg, nakomingsverslaggewing te ontwrig, en inmeng met outomatiese herstelprosesse, wat lei tot onbeheerde sekuriteitskwessies en gecompromitteerde stelselintegriteit.
Potensiële Impak: Versteeking van kwesbaarhede, ontwrigting van nakomingsverslagdoening, ontwrigting van sekuriteitsautomatisering en ontwrigting van koste-toewysing.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
