AWS - Firewall Manager Enum

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Firewall Manager

AWS Firewall Manager vereinfacht die Verwaltung und Wartung von AWS WAF, AWS Shield Advanced, Amazon VPC-Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (ACLs), sowie AWS Network Firewall, AWS Route 53 Resolver DNS Firewall und Drittanbieter-Firewalls über mehrere Konten und Ressourcen hinweg. Es ermöglicht Ihnen, Ihre Firewall-Regeln, Shield Advanced-Schutzmaßnahmen, VPC-Sicherheitsgruppen und Network Firewall-Einstellungen nur einmal zu konfigurieren, wobei der Dienst diese Regeln und Schutzmaßnahmen automatisch über Ihre Konten und Ressourcen durchsetzt, einschließlich neu hinzugefügter.

Der Dienst bietet die Möglichkeit, bestimmte Ressourcen zusammenzufassen und zu schützen, wie z.B. solche, die ein gemeinsames Tag teilen oder alle Ihre CloudFront-Distributionen. Ein wesentlicher Vorteil des Firewall Managers ist seine Fähigkeit, den Schutz automatisch auf neu hinzugefügte Ressourcen in Ihrem Konto auszudehnen.

Eine Regelgruppe (eine Sammlung von WAF-Regeln) kann in eine AWS Firewall Manager-Richtlinie integriert werden, die dann mit bestimmten AWS-Ressourcen wie CloudFront-Distributionen oder Anwendungs-Load-Balancern verknüpft ist.

AWS Firewall Manager bietet verwaltete Anwendungs- und Protokolllisten, um die Konfiguration und Verwaltung von Sicherheitsgruppenrichtlinien zu vereinfachen. Diese Listen ermöglichen es Ihnen, die von Ihren Richtlinien erlaubten oder abgelehnten Protokolle und Anwendungen zu definieren. Es gibt zwei Arten von verwalteten Listen:

  • Von Firewall Manager verwaltete Listen: Diese Listen umfassen FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed und FMS-Default-Protocols-Allowed. Sie werden von Firewall Manager verwaltet und enthalten häufig verwendete Anwendungen und Protokolle, die der allgemeinen Öffentlichkeit erlaubt oder verweigert werden sollten. Es ist nicht möglich, sie zu bearbeiten oder zu löschen, jedoch können Sie ihre Version auswählen.

  • Benutzerdefinierte verwaltete Listen: Diese Listen verwalten Sie selbst. Sie können benutzerdefinierte Anwendungs- und Protokolllisten erstellen, die auf die Bedürfnisse Ihrer Organisation zugeschnitten sind. Im Gegensatz zu von Firewall Manager verwalteten Listen haben diese Listen keine Versionen, aber Sie haben die volle Kontrolle über benutzerdefinierte Listen, sodass Sie sie nach Bedarf erstellen, bearbeiten und löschen können.

Es ist wichtig zu beachten, dass Firewall Manager-Richtlinien nur "Block"- oder "Zählen"-Aktionen für eine Regelgruppe zulassen, ohne eine "Erlauben"-Option.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie mit der Konfiguration des Firewall Managers fortfahren, um die Ressourcen Ihrer Organisation effektiv zu schützen. Diese Schritte bieten die grundlegende Einrichtung, die erforderlich ist, damit der Firewall Manager Sicherheitsrichtlinien durchsetzen und die Einhaltung in Ihrer AWS-Umgebung sicherstellen kann:

  1. Treten Sie AWS Organizations bei und konfigurieren Sie es: Stellen Sie sicher, dass Ihr AWS-Konto Teil der AWS Organizations-Organisation ist, in der die AWS Firewall Manager-Richtlinien implementiert werden sollen. Dies ermöglicht eine zentrale Verwaltung von Ressourcen und Richtlinien über mehrere AWS-Konten innerhalb der Organisation.

  2. Erstellen Sie ein AWS Firewall Manager Standard-Administrator-Konto: Richten Sie ein Standard-Administrator-Konto speziell für die Verwaltung von Firewall Manager-Sicherheitsrichtlinien ein. Dieses Konto ist verantwortlich für die Konfiguration und Durchsetzung von Sicherheitsrichtlinien in der gesamten Organisation. Nur das Verwaltungskonto der Organisation kann Standard-Administrator-Konten für den Firewall Manager erstellen.

  3. Aktivieren Sie AWS Config: Aktivieren Sie AWS Config, um dem Firewall Manager die erforderlichen Konfigurationsdaten und Einblicke zu geben, die zur effektiven Durchsetzung von Sicherheitsrichtlinien erforderlich sind. AWS Config hilft bei der Analyse, Überprüfung, Überwachung und Prüfung von Ressourcen-Konfigurationen und -Änderungen und erleichtert so ein besseres Sicherheitsmanagement.

  4. Für Drittanbieter-Richtlinien, abonnieren Sie im AWS Marketplace und konfigurieren Sie die Einstellungen für Drittanbieter: Wenn Sie planen, Drittanbieter-Firewall-Richtlinien zu nutzen, abonnieren Sie diese im AWS Marketplace und konfigurieren Sie die erforderlichen Einstellungen. Dieser Schritt stellt sicher, dass der Firewall Manager Richtlinien von vertrauenswürdigen Drittanbietern integrieren und durchsetzen kann.

  5. Für Netzwerk-Firewall- und DNS-Firewall-Richtlinien, aktivieren Sie die Ressourcenteilung: Aktivieren Sie die Ressourcenteilung speziell für Netzwerk-Firewall- und DNS-Firewall-Richtlinien. Dies ermöglicht es dem Firewall Manager, Firewall-Schutzmaßnahmen auf die VPCs und die DNS-Auflösung Ihrer Organisation anzuwenden und die Netzwerksicherheit zu verbessern.

  6. Um AWS Firewall Manager in standardmäßig deaktivierten Regionen zu verwenden: Wenn Sie beabsichtigen, den Firewall Manager in AWS-Regionen zu verwenden, die standardmäßig deaktiviert sind, stellen Sie sicher, dass Sie die erforderlichen Schritte unternehmen, um seine Funktionalität in diesen Regionen zu aktivieren. Dies gewährleistet eine konsistente Durchsetzung der Sicherheit in allen Regionen, in denen Ihre Organisation tätig ist.

Für weitere Informationen siehe: Erste Schritte mit AWS Firewall Manager AWS WAF-Richtlinien.

Arten von Schutzrichtlinien

AWS Firewall Manager verwaltet mehrere Arten von Richtlinien, um Sicherheitskontrollen in verschiedenen Aspekten der Infrastruktur Ihrer Organisation durchzusetzen:

  1. AWS WAF-Richtlinie: Dieser Richtlinientyp unterstützt sowohl AWS WAF als auch AWS WAF Classic. Sie können definieren, welche Ressourcen durch die Richtlinie geschützt sind. Für AWS WAF-Richtlinien können Sie Sets von Regelgruppen angeben, die zuerst und zuletzt im Web-ACL ausgeführt werden. Darüber hinaus können Kontoinhaber Regeln und Regelgruppen hinzufügen, die zwischen diesen Sets ausgeführt werden.

  2. Shield Advanced-Richtlinie: Diese Richtlinie wendet Shield Advanced-Schutzmaßnahmen auf Ihre Organisation für bestimmte Ressourcentypen an. Sie hilft, sich gegen DDoS-Angriffe und andere Bedrohungen zu schützen.

  3. Amazon VPC-Sicherheitsgruppenrichtlinie: Mit dieser Richtlinie können Sie Sicherheitsgruppen verwalten, die in Ihrer Organisation verwendet werden, und ein Basisset von Regeln in Ihrer AWS-Umgebung durchsetzen, um den Netzwerkzugang zu steuern.

  4. Amazon VPC-Netzwerkzugriffskontrolllisten (ACL)-Richtlinie: Dieser Richtlinientyp gibt Ihnen die Kontrolle über Netzwerk-ACLs, die in Ihrer Organisation verwendet werden, und ermöglicht es Ihnen, ein Basisset von Netzwerk-ACLs in Ihrer AWS-Umgebung durchzusetzen.

  5. Netzwerk-Firewall-Richtlinie: Diese Richtlinie wendet AWS Network Firewall-Schutz auf die VPCs Ihrer Organisation an und verbessert die Netzwerksicherheit, indem der Datenverkehr basierend auf vordefinierten Regeln gefiltert wird.

  6. Amazon Route 53 Resolver DNS-Firewall-Richtlinie: Diese Richtlinie wendet DNS-Firewall-Schutzmaßnahmen auf die VPCs Ihrer Organisation an und hilft, bösartige Domainauflösungsversuche zu blockieren und Sicherheitsrichtlinien für DNS-Verkehr durchzusetzen.

  7. Drittanbieter-Firewall-Richtlinie: Dieser Richtlinientyp wendet Schutzmaßnahmen von Drittanbieter-Firewalls an, die über das AWS Marketplace-Portal abonnierbar sind. Er ermöglicht es Ihnen, zusätzliche Sicherheitsmaßnahmen von vertrauenswürdigen Anbietern in Ihre AWS-Umgebung zu integrieren.

  8. Palo Alto Networks Cloud NGFW-Richtlinie: Diese Richtlinie wendet Schutzmaßnahmen und Regelstapel der Palo Alto Networks Cloud Next Generation Firewall (NGFW) auf die VPCs Ihrer Organisation an und bietet fortschrittliche Bedrohungsprävention und anwendungsspezifische Sicherheitskontrollen.

  9. Fortigate Cloud Native Firewall (CNF) als Service-Richtlinie: Diese Richtlinie wendet Schutzmaßnahmen der Fortigate Cloud Native Firewall (CNF) als Service an und bietet branchenführende Bedrohungsprävention, Webanwendungsfirewall (WAF) und API-Schutz, die auf Cloud-Infrastrukturen zugeschnitten sind.

Administratorenkonten

AWS Firewall Manager bietet Flexibilität bei der Verwaltung von Firewall-Ressourcen innerhalb Ihrer Organisation durch seinen administrativen Umfang und zwei Arten von Administratorenkonten.

Der administrative Umfang definiert die Ressourcen, die ein Firewall Manager-Administrator verwalten kann. Nachdem ein AWS Organizations-Verwaltungskonto eine Organisation in den Firewall Manager integriert hat, kann es zusätzliche Administratoren mit unterschiedlichen administrativen Umfängen erstellen. Diese Umfänge können Folgendes umfassen:

  • Konten oder organisatorische Einheiten (OUs), auf die der Administrator Richtlinien anwenden kann.

  • Regionen, in denen der Administrator Aktionen durchführen kann.

  • Firewall Manager-Richtlinientypen, die der Administrator verwalten kann.

Der administrative Umfang kann entweder vollständig oder eingeschränkt sein. Vollständiger Umfang gewährt dem Administrator Zugriff auf alle angegebenen Ressourcentypen, Regionen und Richtlinientypen. Im Gegensatz dazu gewährt eingeschränkter Umfang administrative Berechtigungen nur für eine Teilmenge von Ressourcen, Regionen oder Richtlinientypen. Es ist ratsam, Administratoren nur die Berechtigungen zu gewähren, die sie benötigen, um ihre Rollen effektiv zu erfüllen. Sie können jede Kombination dieser administrativen Umfangsbedingungen auf einen Administrator anwenden, um die Einhaltung des Prinzips der minimalen Berechtigung sicherzustellen.

Es gibt zwei verschiedene Arten von Administratorenkonten, die jeweils spezifische Rollen und Verantwortlichkeiten erfüllen:

  • Standard-Administrator:

  • Das Standard-Administrator-Konto wird vom Verwaltungskonto der AWS Organizations-Organisation während des Onboarding-Prozesses für den Firewall Manager erstellt.

  • Dieses Konto hat die Fähigkeit, Drittanbieter-Firewalls zu verwalten und besitzt einen vollständigen administrativen Umfang.

  • Es dient als primäres Administrator-Konto für den Firewall Manager, das für die Konfiguration und Durchsetzung von Sicherheitsrichtlinien in der gesamten Organisation verantwortlich ist.

  • Während der Standard-Administrator vollen Zugriff auf alle Ressourcentypen und administrativen Funktionen hat, operiert er auf derselben Ebene wie andere Administratoren, wenn mehrere Administratoren innerhalb der Organisation genutzt werden.

  • Firewall Manager-Administratoren:

  • Diese Administratoren können Ressourcen im Rahmen des vom Verwaltungskonto der AWS Organizations festgelegten Umfangs verwalten, wie in der Konfiguration des administrativen Umfangs definiert.

  • Firewall Manager-Administratoren werden erstellt, um spezifische Rollen innerhalb der Organisation zu erfüllen, was eine Delegation von Verantwortlichkeiten ermöglicht, während Sicherheits- und Compliance-Standards eingehalten werden.

  • Bei der Erstellung überprüft der Firewall Manager bei AWS Organizations, ob das Konto bereits ein delegierter Administrator ist. Wenn nicht, ruft der Firewall Manager Organizations auf, um das Konto als delegierten Administrator für den Firewall Manager zu benennen.

Die Verwaltung dieser Administratorenkonten umfasst deren Erstellung innerhalb des Firewall Managers und die Definition ihrer administrativen Umfänge gemäß den Sicherheitsanforderungen der Organisation und dem Prinzip der minimalen Berechtigung. Durch die Zuweisung geeigneter administrativer Rollen können Organisationen ein effektives Sicherheitsmanagement sicherstellen und gleichzeitig die Kontrolle über den Zugriff auf sensible Ressourcen aufrechterhalten.

Es ist wichtig zu betonen, dass nur ein Konto innerhalb einer Organisation als Standard-Administrator des Firewall Managers fungieren kann, gemäß dem Prinzip "first in, last out". Um einen neuen Standard-Administrator zu benennen, müssen eine Reihe von Schritten befolgt werden:

  • Zuerst muss jeder Firewall-Administrator sein eigenes Konto widerrufen.

  • Dann kann der bestehende Standard-Administrator sein eigenes Konto widerrufen, wodurch die Organisation effektiv vom Firewall Manager abgemeldet wird. Dieser Prozess führt zur Löschung aller vom widerrufenen Konto erstellten Firewall Manager-Richtlinien.

  • Abschließend muss das Verwaltungskonto der AWS Organizations den Standard-Administrator des Firewall Managers benennen.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Ein Angreifer mit der fms:AssociateAdminAccount Berechtigung könnte das Standardadministrator-Konto des Firewall Managers festlegen. Mit der fms:PutAdminAccount Berechtigung könnte ein Angreifer ein Firewall Manager-Administrator-Konto erstellen oder aktualisieren und mit der fms:DisassociateAdminAccount Berechtigung könnte ein potenzieller Angreifer die aktuelle Zuordnung des Firewall Manager-Administrator-Kontos entfernen.

  • Die Disassoziation des Standardadministrators des Firewall Managers folgt der First-in-Last-out-Politik. Alle Firewall Manager-Administratoren müssen sich disassoziieren, bevor der Standardadministrator des Firewall Managers das Konto disassoziieren kann.

  • Um einen Firewall Manager-Administrator mit PutAdminAccount zu erstellen, muss das Konto zur Organisation gehören, die zuvor mit AssociateAdminAccount in den Firewall Manager aufgenommen wurde.

  • Die Erstellung eines Firewall Manager-Administrator-Kontos kann nur durch das Verwaltungs-Konto der Organisation erfolgen.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potenzielle Auswirkungen: Verlust der zentralen Verwaltung, Umgehung von Richtlinien, Verstöße gegen die Compliance und Störung der Sicherheitskontrollen innerhalb der Umgebung.

fms:PutPolicy, fms:DeletePolicy

Ein Angreifer mit den Berechtigungen fms:PutPolicy, fms:DeletePolicy wäre in der Lage, eine AWS Firewall Manager-Richtlinie zu erstellen, zu ändern oder dauerhaft zu löschen.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Ein Beispiel für eine permissive Richtlinie durch eine permissive Sicherheitsgruppe, um die Erkennung zu umgehen, könnte das folgende sein:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potenzielle Auswirkungen: Abbau von Sicherheitskontrollen, Umgehung von Richtlinien, Verstöße gegen die Compliance, betriebliche Störungen und potenzielle Datenlecks innerhalb der Umgebung.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Ein Angreifer mit den Berechtigungen fms:BatchAssociateResource und fms:BatchDisassociateResource wäre in der Lage, Ressourcen von einem Firewall Manager-Ressourcensatz zuzuordnen oder zu trennen. Darüber hinaus würden die Berechtigungen fms:PutResourceSet und fms:DeleteResourceSet einem Angreifer erlauben, diese Ressourcensätze im AWS Firewall Manager zu erstellen, zu ändern oder zu löschen.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potenzielle Auswirkungen: Die Hinzufügung einer unnötigen Anzahl von Elementen zu einem Ressourcen-Set wird das Geräuschlevel im Dienst erhöhen und möglicherweise einen DoS verursachen. Darüber hinaus könnten Änderungen der Ressourcen-Sets zu einer Störung der Ressourcen, Umgehung von Richtlinien, Verstößen gegen die Compliance und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen.

fms:PutAppsList, fms:DeleteAppsList

Ein Angreifer mit den Berechtigungen fms:PutAppsList und fms:DeleteAppsList wäre in der Lage, Anwendungslisten aus dem AWS Firewall Manager zu erstellen, zu ändern oder zu löschen. Dies könnte kritisch sein, da unautorisierte Anwendungen möglicherweise Zugang zur allgemeinen Öffentlichkeit erhalten oder der Zugang zu autorisierten Anwendungen verweigert werden könnte, was einen DoS verursachen würde.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehungen von Richtlinien, Verstößen gegen die Compliance und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen.

fms:PutProtocolsList, fms:DeleteProtocolsList

Ein Angreifer mit den Berechtigungen fms:PutProtocolsList und fms:DeleteProtocolsList wäre in der Lage, Protokolllisten im AWS Firewall Manager zu erstellen, zu ändern oder zu löschen. Ähnlich wie bei Anwendungslisten könnte dies kritisch sein, da unautorisierte Protokolle von der allgemeinen Öffentlichkeit verwendet werden könnten oder die Verwendung autorisierter Protokolle verweigert werden könnte, was zu einem DoS führen würde.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehungen von Richtlinien, Verstößen gegen die Compliance und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Ein Angreifer mit den Berechtigungen fms:PutNotificationChannel und fms:DeleteNotificationChannel wäre in der Lage, die IAM-Rolle und das Amazon Simple Notification Service (SNS)-Thema zu löschen und festzulegen, die Firewall Manager verwendet, um SNS-Protokolle aufzuzeichnen.

Um fms:PutNotificationChannel außerhalb der Konsole zu verwenden, müssen Sie die Zugriffsrichtlinie des SNS-Themas einrichten, die dem angegebenen SnsRoleName das Veröffentlichen von SNS-Protokollen erlaubt. Wenn der angegebene SnsRoleName eine Rolle ist, die nicht AWSServiceRoleForFMS ist, erfordert dies eine Vertrauensbeziehung, die konfiguriert ist, um dem Firewall Manager-Dienstprinzipal fms.amazonaws.com zu erlauben, diese Rolle zu übernehmen.

Für Informationen zur Konfiguration einer SNS-Zugriffsrichtlinie:

https://github.com/HackTricks-wiki/hacktricks-cloud/blob/de/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.md
aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potenzielle Auswirkungen: Dies könnte potenziell zu verpassten Sicherheitswarnungen, verzögerter Incident-Response, potenziellen Datenlecks und betrieblichen Störungen innerhalb der Umgebung führen.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Ein Angreifer mit den Berechtigungen fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall wäre in der Lage, Drittanbieter-Firewalls zuzuordnen oder von der zentralen Verwaltung über AWS Firewall Manager zu trennen.

Nur der Standardadministrator kann Drittanbieter-Firewalls erstellen und verwalten.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Potenzielle Auswirkungen: Die Dissoziation würde zu einer Umgehung der Richtlinien, zu Compliance-Verstößen und zu einer Störung der Sicherheitskontrollen innerhalb der Umgebung führen. Die Assoziation hingegen würde zu einer Störung der Kosten- und Budgetzuweisung führen.

fms:TagResource, fms:UntagResource

Ein Angreifer wäre in der Lage, Tags von Firewall Manager-Ressourcen hinzuzufügen, zu ändern oder zu entfernen, was die Kostenallokation, die Ressourcenverfolgung und die Zugriffskontrollrichtlinien Ihrer Organisation, die auf Tags basieren, stören würde.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potenzielle Auswirkungen: Störung der Kostenverteilung, Ressourcenverfolgung und tagbasierter Zugriffskontrollrichtlinien.

Referenzen

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Last updated