AWS - EFS Enum

EFS

Basic Information

Το Amazon Elastic File System (EFS) παρουσιάζεται ως ένα πλήρως διαχειριζόμενο, κλιμακούμενο και ελαστικό δίκτυο αρχείων από την AWS. Η υπηρεσία διευκολύνει τη δημιουργία και τη διαμόρφωση συστημάτων αρχείων που μπορούν να προσπελαστούν ταυτόχρονα από πολλαπλές EC2 instances και άλλες υπηρεσίες AWS. Τα κύρια χαρακτηριστικά του EFS περιλαμβάνουν την ικανότητά του να κλιμακώνεται αυτόματα χωρίς χειροκίνητη παρέμβαση, να παρέχει πρόσβαση χαμηλής καθυστέρησης, να υποστηρίζει φορτία υψηλής απόδοσης, να εγγυάται την ανθεκτικότητα των δεδομένων και να ενσωματώνεται απρόσκοπτα με διάφορους μηχανισμούς ασφαλείας της AWS.

Από προεπιλογή, ο φάκελος EFS που θα προσαρτηθεί θα είναι / αλλά μπορεί να έχει ένα διαφορετικό όνομα.

Network Access

Ένα EFS δημιουργείται σε ένα VPC και θα είναι κατά προεπιλογή προσβάσιμο σε όλα τα υποδίκτυα VPC. Ωστόσο, το EFS θα έχει μια Ομάδα Ασφαλείας. Για να δώσετε πρόσβαση σε μια EC2 (ή οποιαδήποτε άλλη υπηρεσία AWS) να προσαρτήσει το EFS, είναι απαραίτητο να επιτρέψετε στην ομάδα ασφαλείας EFS έναν κανόνα εισερχόμενου NFS (θύρα 2049) από την Ομάδα Ασφαλείας EC2.

Χωρίς αυτό, δεν θα μπορείτε να επικοινωνήσετε με την υπηρεσία NFS.

Για περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ελέγξτε: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount

Enumeration

# Get filesystems and access policies (if any)
aws efs describe-file-systems
aws efs describe-file-system-policy --file-system-id <id>

# Get subnetworks and IP addresses where you can find the file system
aws efs describe-mount-targets --file-system-id <id>
aws efs describe-mount-target-security-groups --mount-target-id <id>
aws ec2 describe-security-groups --group-ids <sg_id>

# Get other access points
aws efs describe-access-points

# Get replication configurations
aws efs describe-replication-configurations

# Search for NFS in EC2 networks
sudo nmap -T4 -Pn -p 2049 --open 10.10.10.0/20 # or /16 to be sure

Mount EFS

sudo mkdir /efs

## Mount found
sudo apt install nfs-common
sudo mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport <IP>:/ /efs

## Mount with efs type
## You need to have installed the package amazon-efs-utils
sudo yum install amazon-efs-utils # If centos
sudo apt-get install amazon-efs-utils # If ubuntu
sudo mount -t efs <file-system-id/EFS DNS name>:/ /efs/

IAM Access

Κατά προεπιλογή, οποιοσδήποτε έχει δικτύωση πρόσβαση στο EFS θα μπορεί να το προσαρτήσει, να το διαβάσει και να το γράψει ακόμη και ως χρήστης root. Ωστόσο, οι πολιτικές του Συστήματος Αρχείων μπορεί να είναι σε εφαρμογή επιτρέποντας μόνο σε κύριους με συγκεκριμένες άδειες να έχουν πρόσβαση σε αυτό. Για παράδειγμα, αυτή η πολιτική Συστήματος Αρχείων δεν θα επιτρέπει ούτε την προσαρμογή του συστήματος αρχείων αν δεν έχετε την άδεια IAM:

{
"Version": "2012-10-17",
"Id": "efs-policy-wizard-2ca2ba76-5d83-40be-8557-8f6c19eaa797",
"Statement": [
{
"Sid": "efs-statement-e7f4b04c-ad75-4a7f-a316-4e5d12f0dbf5",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "",
"Resource": "arn:aws:elasticfilesystem:us-east-1:318142138553:file-system/fs-0ab66ad201b58a018",
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}

Ή αυτό θα αποτρέψει την ανώνυμη πρόσβαση:

Σημειώστε ότι για να συνδέσετε συστήματα αρχείων που προστατεύονται από IAM ΠΡΕΠΕΙ να χρησιμοποιήσετε τον τύπο "efs" στην εντολή σύνδεσης:

sudo mkdir /efs
sudo mount -t efs -o tls,iam  <file-system-id/EFS DNS name>:/ /efs/
# To use a different pforile from ~/.aws/credentials
# You can use: -o tls,iam,awsprofile=namedprofile

Access Points

Access points είναι ειδικοί σημεία εισόδου σε ένα σύστημα αρχείων EFS που διευκολύνουν τη διαχείριση της πρόσβασης εφαρμογών σε κοινά σύνολα δεδομένων.

Όταν δημιουργείτε ένα access point, μπορείτε να καθορίσετε τον ιδιοκτήτη και τα δικαιώματα POSIX για τα αρχεία και τους καταλόγους που δημιουργούνται μέσω του access point. Μπορείτε επίσης να ορίσετε έναν προσαρμοσμένο ριζικό κατάλογο για το access point, είτε καθορίζοντας έναν υπάρχοντα κατάλογο είτε δημιουργώντας έναν νέο με τα επιθυμητά δικαιώματα. Αυτό σας επιτρέπει να ελέγχετε την πρόσβαση στο σύστημα αρχείων EFS σας ανά εφαρμογή ή ανά χρήστη, διευκολύνοντας τη διαχείριση και την ασφάλεια των κοινών δεδομένων αρχείων σας.

Μπορείτε να προσαρτήσετε το Σύστημα Αρχείων από ένα access point με κάτι σαν:

# Use IAM if you need to use iam permissions
sudo mount -t efs -o tls,[iam],accesspoint=<access-point-id> \
<file-system-id/EFS DNS> /efs/

Τα access points μπορούν να χρησιμοποιηθούν για τους εξής σκοπούς:

• Απλοποίηση της διαχείρισης αδειών: Ορίζοντας έναν χρήστη και μια ομάδα POSIX για κάθε access point, μπορείτε να διαχειριστείτε εύκολα τις άδειες πρόσβασης για διαφορετικές εφαρμογές ή χρήστες χωρίς να τροποποιήσετε τις άδειες του υποκείμενου file system.

• Επιβολή ριζικού καταλόγου: Τα access points μπορούν να περιορίσουν την πρόσβαση σε έναν συγκεκριμένο κατάλογο εντός του file system EFS, διασφαλίζοντας ότι κάθε εφαρμογή ή χρήστης λειτουργεί εντός του καθορισμένου φακέλου του. Αυτό βοηθά στην αποφυγή τυχαίας έκθεσης ή τροποποίησης δεδομένων.

• Ευκολότερη πρόσβαση στο file system: Τα access points μπορούν να συσχετιστούν με μια λειτουργία AWS Lambda ή μια εργασία AWS Fargate, απλοποιώντας την πρόσβαση στο file system για serverless και κοντενέρισμένες εφαρμογές.

Privesc

Post Exploitation

Persistence