AWS - Inspector Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector ist ein fortschrittlicher, automatisierter Schwachstellenmanagementdienst, der entwickelt wurde, um die Sicherheit Ihrer AWS-Umgebung zu verbessern. Dieser Dienst scannt kontinuierlich Amazon EC2-Instanzen, Container-Images in Amazon ECR, Amazon ECS und AWS Lambda-Funktionen auf Schwachstellen und unbeabsichtigte Netzwerkaussetzungen. Durch die Nutzung einer robusten Schwachstellen-Intelligenzdatenbank bietet Amazon Inspector detaillierte Ergebnisse, einschließlich Schweregraden und Empfehlungen zur Behebung, die Organisationen helfen, Sicherheitsrisiken proaktiv zu identifizieren und zu beheben. Dieser umfassende Ansatz gewährleistet eine verstärkte Sicherheitslage über verschiedene AWS-Dienste hinweg und unterstützt die Einhaltung von Vorschriften und das Risikomanagement.
Ergebnisse in Amazon Inspector sind detaillierte Berichte über Schwachstellen und Aussetzungen, die während des Scans von EC2-Instanzen, ECR-Repositorys oder Lambda-Funktionen entdeckt wurden. Basierend auf ihrem Status werden die Ergebnisse kategorisiert als:
Aktiv: Das Ergebnis wurde nicht behoben.
Geschlossen: Das Ergebnis wurde behoben.
Unterdrückt: Das Ergebnis wurde aufgrund von einem oder mehreren Unterdrückungsregeln mit diesem Status markiert.
Die Ergebnisse werden auch in die folgenden drei Typen kategorisiert:
Paket: Diese Ergebnisse beziehen sich auf Schwachstellen in Softwarepaketen, die auf Ihren Ressourcen installiert sind. Beispiele sind veraltete Bibliotheken oder Abhängigkeiten mit bekannten Sicherheitsproblemen.
Code: Diese Kategorie umfasst Schwachstellen, die im Code von Anwendungen gefunden werden, die auf Ihren AWS-Ressourcen ausgeführt werden. Häufige Probleme sind Programmierfehler oder unsichere Praktiken, die zu Sicherheitsverletzungen führen könnten.
Netzwerk: Netzwerk-Ergebnisse identifizieren potenzielle Aussetzungen in Netzwerkkonfigurationen, die von Angreifern ausgenutzt werden könnten. Dazu gehören offene Ports, unsichere Netzwerkprotokolle und falsch konfigurierte Sicherheitsgruppen.
Filter und Unterdrückungsregeln in Amazon Inspector helfen dabei, Ergebnisse zu verwalten und zu priorisieren. Filter ermöglichen es Ihnen, Ergebnisse basierend auf bestimmten Kriterien wie Schweregrad oder Ressourcentyp zu verfeinern. Unterdrückungsregeln ermöglichen es Ihnen, bestimmte Ergebnisse zu unterdrücken, die als geringes Risiko angesehen werden, bereits gemindert wurden oder aus anderen wichtigen Gründen, um zu verhindern, dass sie Ihre Sicherheitsberichte überladen und Ihnen zu ermöglichen, sich auf kritischere Probleme zu konzentrieren.
Eine Software-Bill-of-Materials (SBOM) in Amazon Inspector ist eine exportierbare verschachtelte Inventarliste, die alle Komponenten innerhalb eines Softwarepakets detailliert, einschließlich Bibliotheken und Abhängigkeiten. SBOMs helfen, Transparenz in der Software-Lieferkette zu schaffen, was ein besseres Schwachstellenmanagement und Compliance ermöglicht. Sie sind entscheidend für die Identifizierung und Minderung von Risiken, die mit Open-Source- und Drittanbieter-Softwarekomponenten verbunden sind.
Amazon Inspector bietet die Möglichkeit, Ergebnisse in Amazon S3-Buckets, Amazon EventBridge und AWS Security Hub zu exportieren, was es Ihnen ermöglicht, detaillierte Berichte über identifizierte Schwachstellen und Aussetzungen für eine weitere Analyse oder zum Teilen zu einem bestimmten Datum und Zeitpunkt zu erstellen. Diese Funktion unterstützt verschiedene Ausgabeformate wie CSV und JSON, was die Integration mit anderen Tools und Systemen erleichtert. Die Exportfunktionalität ermöglicht die Anpassung der in den Berichten enthaltenen Daten, sodass Sie Ergebnisse basierend auf bestimmten Kriterien wie Schweregrad, Ressourcentyp oder Datumsbereich filtern und standardmäßig alle Ihre Ergebnisse im aktuellen AWS-Region mit einem aktiven Status einbeziehen können.
Beim Exportieren von Ergebnissen ist ein Key Management Service (KMS)-Schlüssel erforderlich, um die Daten während des Exports zu verschlüsseln. KMS-Schlüssel stellen sicher, dass die exportierten Ergebnisse vor unbefugtem Zugriff geschützt sind und bieten eine zusätzliche Sicherheitsebene für sensible Schwachstelleninformationen.
Amazon Inspector bietet robuste Scanfunktionen für Amazon EC2-Instanzen, um Schwachstellen und Sicherheitsprobleme zu erkennen. Inspector verglich extrahierte Metadaten von der EC2-Instanz mit Regeln aus Sicherheitsberatungen, um Paket-Schwachstellen und Netzwerk-Erreichbarkeitsprobleme zu erzeugen. Diese Scans können durch agentenbasierte oder agentenlose Methoden durchgeführt werden, abhängig von der Konfiguration der Scanmodus-Einstellungen Ihres Kontos.
Agentenbasiert: Nutzt den AWS Systems Manager (SSM)-Agenten, um umfassende Scans durchzuführen. Diese Methode ermöglicht eine umfassende Datensammlung und -analyse direkt von der Instanz.
Agentenlos: Bietet eine leichte Alternative, die keine Installation eines Agenten auf der Instanz erfordert, indem ein EBS-Snapshot jedes Volumes der EC2-Instanz erstellt, nach Schwachstellen sucht und ihn dann löscht; nutzt die vorhandene AWS-Infrastruktur für Scans.
Der Scanmodus bestimmt, welche Methode verwendet wird, um EC2-Scans durchzuführen:
Agentenbasiert: Beinhaltet die Installation des SSM-Agenten auf EC2-Instanzen für eine tiefgehende Inspektion.
Hybrides Scannen: Kombiniert sowohl agentenbasierte als auch agentenlose Methoden, um die Abdeckung zu maximieren und die Auswirkungen auf die Leistung zu minimieren. In den EC2-Instanzen, auf denen der SSM-Agent installiert ist, führt Inspector einen agentenbasierten Scan durch, und für diejenigen, auf denen kein SSM-Agent vorhanden ist, wird der durchgeführte Scan agentenlos sein.
Ein weiteres wichtiges Merkmal ist die tiefgehende Inspektion für EC2-Linux-Instanzen. Diese Funktion bietet eine gründliche Analyse der Software und Konfiguration von EC2-Linux-Instanzen und liefert detaillierte Schwachstellenbewertungen, einschließlich Betriebssystem-Schwachstellen, Anwendungs-Schwachstellen und Fehlkonfigurationen, um eine umfassende Sicherheitsbewertung sicherzustellen. Dies wird durch die Inspektion von benutzerdefinierten Pfaden und allen seinen Unterverzeichnissen erreicht. Standardmäßig scannt Amazon Inspector Folgendes, aber jedes Mitgliedskonto kann bis zu 5 weitere benutzerdefinierte Pfade definieren, und jeder delegierte Administrator bis zu 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector bietet robuste Scanfunktionen für Amazon Elastic Container Registry (ECR)-Container-Images, um sicherzustellen, dass Paket-Schwachstellen effizient erkannt und verwaltet werden.
Basis-Scanning: Dies ist ein schneller und leichter Scan, der bekannte OS-Paket-Schwachstellen in Container-Images mithilfe eines standardisierten Regelwerks aus dem Open-Source-Projekt Clair identifiziert. Mit dieser Scan-Konfiguration werden Ihre Repositorys beim Push oder durch manuelle Scans gescannt.
Erweitertes Scannen: Diese Option fügt die kontinuierliche Scanfunktion zusätzlich zum Push-Scan hinzu. Das erweiterte Scannen geht tiefer in die Schichten jedes Container-Images, um Schwachstellen in OS-Paketen und in Programmiersprachen-Paketen mit höherer Genauigkeit zu identifizieren. Es analysiert sowohl das Basis-Image als auch alle zusätzlichen Schichten und bietet einen umfassenden Überblick über potenzielle Sicherheitsprobleme.
Amazon Inspector umfasst umfassende Scanfunktionen für AWS Lambda-Funktionen und deren Schichten, um die Sicherheit und Integrität serverloser Anwendungen zu gewährleisten. Inspector bietet zwei Arten von Scans für Lambda-Funktionen:
Lambda-Standard-Scanning: Diese Standardfunktion identifiziert Software-Schwachstellen in den Anwendungs-Paketabhängigkeiten, die zu Ihrer Lambda-Funktion und deren Schichten hinzugefügt wurden. Wenn Ihre Funktion beispielsweise eine Version einer Bibliothek wie python-jwt mit einer bekannten Schwachstelle verwendet, wird ein Ergebnis generiert.
Lambda-Code-Scanning: Analysiert benutzerdefinierten Anwendungscode auf Sicherheitsprobleme und erkennt Schwachstellen wie Injektionsfehler, Datenlecks, schwache Kryptografie und fehlende Verschlüsselung. Es erfasst Code-Snippets, die erkannte Schwachstellen hervorheben, wie z. B. hardcodierte Anmeldeinformationen. Die Ergebnisse enthalten detaillierte Vorschläge zur Behebung und Code-Snippets zur Behebung der Probleme.
Amazon Inspector umfasst CIS-Scans, um die Betriebssysteme von Amazon EC2-Instanzen mit den Best-Practice-Empfehlungen des Center for Internet Security (CIS) zu benchmarken. Diese Scans stellen sicher, dass die Konfigurationen den branchenüblichen Sicherheitsgrundlagen entsprechen.
Konfiguration: CIS-Scans bewerten, ob die Systemkonfigurationen bestimmten CIS-Benchmark-Empfehlungen entsprechen, wobei jeder Check mit einer CIS-Check-ID und einem Titel verknüpft ist.
Ausführung: Scans werden basierend auf Instanz-Tags und definierten Zeitplänen durchgeführt oder geplant.
Ergebnisse: Die Ergebnisse nach dem Scan zeigen an, welche Checks bestanden, übersprungen oder fehlgeschlagen sind und bieten Einblicke in die Sicherheitslage jeder Instanz.
Aus der Perspektive eines Angreifers kann dieser Dienst dem Angreifer helfen, Schwachstellen und Netzwerkexpositionen zu finden, die ihm helfen könnten, andere Instanzen/Container zu kompromittieren.
Ein Angreifer könnte jedoch auch daran interessiert sein, diesen Dienst zu stören, sodass das Opfer Schwachstellen (alle oder spezifische) nicht sehen kann.
inspector2:CreateFindingsReport
, inspector2:CreateSBOMReport
Ein Angreifer könnte detaillierte Berichte über Schwachstellen oder Software-Bill of Materials (SBOMs) erstellen und sie aus Ihrer AWS-Umgebung exfiltrieren. Diese Informationen könnten ausgenutzt werden, um spezifische Schwächen, veraltete Software oder unsichere Abhängigkeiten zu identifizieren, was gezielte Angriffe ermöglicht.
Erstellen Sie einen Amazon S3 Bucket und fügen Sie eine Richtlinie hinzu, damit er vom Opfer Amazon Inspector zugänglich ist:
Erstellen Sie einen Amazon KMS-Schlüssel und fügen Sie eine Richtlinie hinzu, damit er vom Amazon Inspector des Opfers verwendet werden kann:
Führen Sie den Befehl aus, um den Bericht über die Ergebnisse zu erstellen und ihn zu exfiltrieren:
Potenzielle Auswirkungen: Erstellung und Exfiltration detaillierter Berichte über Schwachstellen und Software, Einblicke in spezifische Schwachstellen und Sicherheitsanfälligkeiten gewinnen.
inspector2:CancelFindingsReport
, inspector2:CancelSbomExport
Ein Angreifer könnte die Erstellung des angegebenen Berichts über Schwachstellen oder des SBOM-Berichts abbrechen, wodurch Sicherheitsteams daran gehindert werden, rechtzeitig Informationen über Schwachstellen und Software-Bill of Materials (SBOMs) zu erhalten, was die Erkennung und Behebung von Sicherheitsproblemen verzögert.
Potenzielle Auswirkungen: Störung der Sicherheitsüberwachung und Verhinderung einer zeitnahen Erkennung und Behebung von Sicherheitsproblemen.
inspector2:CreateFilter
, inspector2:UpdateFilter
, inspector2:DeleteFilter
Ein Angreifer mit diesen Berechtigungen könnte die Filterregeln manipulieren, die bestimmen, welche Schwachstellen und Sicherheitsprobleme gemeldet oder unterdrückt werden (wenn die Aktion auf SUPPRESS gesetzt ist, würde eine Unterdrückungsregel erstellt). Dies könnte kritische Schwachstellen vor Sicherheitsadministratoren verbergen und es erleichtern, diese Schwächen unentdeckt auszunutzen. Durch das Ändern oder Entfernen wichtiger Filter könnte ein Angreifer auch Lärm erzeugen, indem er das System mit irrelevanten Ergebnissen überflutet, was eine effektive Sicherheitsüberwachung und -reaktion behindert.
Potenzielle Auswirkungen: Verbergung oder Unterdrückung kritischer Schwachstellen oder Überflutung des Systems mit irrelevanten Ergebnissen.
inspector2:DisableDelegatedAdminAccount
, (inspector2:EnableDelegatedAdminAccount
& organizations:ListDelegatedAdministrators
& organizations:EnableAWSServiceAccess
& iam:CreateServiceLinkedRole
)Ein Angreifer könnte die Sicherheitsmanagementstruktur erheblich stören.
Durch das Deaktivieren des delegierten Administratorkontos könnte der Angreifer das Sicherheitsteam daran hindern, auf die Amazon Inspector-Einstellungen und -Berichte zuzugreifen und diese zu verwalten.
Das Aktivieren eines unbefugten Administratorkontos würde es einem Angreifer ermöglichen, Sicherheitskonfigurationen zu steuern, möglicherweise Scans zu deaktivieren oder Einstellungen zu ändern, um böswillige Aktivitäten zu verbergen.
Es ist erforderlich, dass das unbefugte Konto in derselben Organisation wie das Opfer ist, um der delegierte Administrator zu werden.
Damit das unbefugte Konto der delegierte Administrator werden kann, ist es auch erforderlich, dass, nachdem der legitime delegierte Administrator deaktiviert wurde und bevor das unbefugte Konto als delegierter Administrator aktiviert wird, der legitime Administrator aus der Organisation als delegierter Administrator abgemeldet werden muss. Dies kann mit dem folgenden Befehl durchgeführt werden (organizations:DeregisterDelegatedAdministrator
Berechtigung erforderlich): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Potenzielle Auswirkungen: Störung des Sicherheitsmanagements.
inspector2:AssociateMember
, inspector2:DisassociateMember
Ein Angreifer könnte die Zuordnung von Mitgliedskonten innerhalb einer Amazon Inspector-Organisation manipulieren. Durch die Zuordnung unautorisierter Konten oder die Trennung legitimer Konten könnte ein Angreifer kontrollieren, welche Konten in Sicherheitsüberprüfungen und Berichterstattung einbezogen werden. Dies könnte dazu führen, dass kritische Konten von der Sicherheitsüberwachung ausgeschlossen werden, was es dem Angreifer ermöglicht, Schwachstellen in diesen Konten unentdeckt auszunutzen.
Diese Aktion muss von dem delegierten Administrator durchgeführt werden.
Potenzielle Auswirkungen: Ausschluss von Schlüsselkonten von Sicherheitsüberprüfungen, was die unentdeckte Ausnutzung von Schwachstellen ermöglicht.
inspector2:Disable
, (inspector2:Enable
& iam:CreateServiceLinkedRole
)Ein Angreifer mit der Berechtigung inspector2:Disable
könnte Sicherheitsüberprüfungen für bestimmte Ressourcentypen (EC2, ECR, Lambda, Lambda-Code) über die angegebenen Konten deaktivieren, wodurch Teile der AWS-Umgebung unüberwacht und anfällig für Angriffe bleiben. Darüber hinaus könnte ein Angreifer aufgrund der Berechtigungen inspector2:Enable
& iam:CreateServiceLinkedRole
die Überprüfungen selektiv wieder aktivieren, um die Erkennung verdächtiger Konfigurationen zu vermeiden.
Diese Aktion muss von dem delegierten Administrator durchgeführt werden.
Potenzielle Auswirkungen: Erstellung von blinden Flecken in der Sicherheitsüberwachung.
inspector2:UpdateOrganizationConfiguration
Ein Angreifer mit dieser Berechtigung könnte die Konfigurationen für Ihre Amazon Inspector-Organisation aktualisieren, was die standardmäßigen Scanfunktionen für neue Mitgliedskonten beeinflusst.
Diese Aktion muss vom delegierten Administrator durchgeführt werden.
Potenzielle Auswirkungen: Ändern Sie Sicherheits-Scan-Richtlinien und -Konfigurationen für die Organisation.
inspector2:TagResource
, inspector2:UntagResource
Ein Angreifer könnte Tags auf AWS Inspector-Ressourcen manipulieren, die entscheidend für die Organisation, Verfolgung und Automatisierung von Sicherheitsbewertungen sind. Durch das Ändern oder Entfernen von Tags könnte ein Angreifer potenziell Schwachstellen vor Sicherheits-Scans verbergen, die Compliance-Berichterstattung stören und automatisierte Behebungsprozesse beeinträchtigen, was zu unkontrollierten Sicherheitsproblemen und einer gefährdeten Systemintegrität führen könnte.
Potenzielle Auswirkungen: Verbergen von Schwachstellen, Störung der Compliance-Berichterstattung, Störung der Sicherheitsautomatisierung und Störung der Kostenverteilung.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)