Az - Service Bus Post Exploitation

Service Bus

Για περισσότερες πληροφορίες ελέγξτε:

Actions: Microsoft.ServiceBus/namespaces/Delete

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να διαγράψει ολόκληρο το Azure Service Bus namespace. Αυτή η ενέργεια αφαιρεί το namespace και όλους τους σχετικούς πόρους, συμπεριλαμβανομένων των ουρών, θεμάτων, συνδρομών και των μηνυμάτων τους, προκαλώντας εκτεταμένη διαταραχή και μόνιμη απώλεια δεδομένων σε όλα τα εξαρτώμενα συστήματα και ροές εργασίας.

az servicebus namespace delete --resource-group <ResourceGroupName> --name <NamespaceName>

Ενέργειες: Microsoft.ServiceBus/namespaces/topics/Delete

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να διαγράψει ένα θέμα Azure Service Bus. Αυτή η ενέργεια αφαιρεί το θέμα και όλες τις σχετικές συνδρομές και μηνύματα του, ενδεχομένως προκαλώντας απώλεια κρίσιμων δεδομένων και διαταράσσοντας συστήματα και ροές εργασίας που βασίζονται στο θέμα.

az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>

Ενέργειες: Microsoft.ServiceBus/namespaces/queues/Delete

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να διαγράψει μια ουρά Azure Service Bus. Αυτή η ενέργεια αφαιρεί την ουρά και όλα τα μηνύματα εντός αυτής, ενδεχομένως προκαλώντας απώλεια κρίσιμων δεδομένων και διαταράσσοντας τα συστήματα και τις ροές εργασίας που εξαρτώνται από την ουρά.

az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>

Ενέργειες: Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να διαγράψει μια συνδρομή Azure Service Bus. Αυτή η ενέργεια αφαιρεί τη συνδρομή και όλα τα συσχετιζόμενα μηνύματα της, ενδεχομένως διαταράσσοντας τις ροές εργασίας, την επεξεργασία δεδομένων και τις λειτουργίες του συστήματος που βασίζονται στη συνδρομή.

az servicebus topic subscription delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>

Ενέργειες: Microsoft.ServiceBus/namespaces/write & Microsoft.ServiceBus/namespaces/read

Ένας επιτιθέμενος με δικαιώματα για τη δημιουργία ή την τροποποίηση των namespaces του Azure Service Bus μπορεί να εκμεταλλευτεί αυτό για να διαταράξει τις λειτουργίες, να αναπτύξει μη εξουσιοδοτημένους πόρους ή να εκθέσει ευαίσθητα δεδομένα. Μπορούν να αλλάξουν κρίσιμες ρυθμίσεις όπως η ενεργοποίηση της δημόσιας πρόσβασης στο δίκτυο, η υποβάθμιση των ρυθμίσεων κρυπτογράφησης ή η αλλαγή των SKU για να υποβαθμίσουν την απόδοση ή να αυξήσουν το κόστος. Επιπλέον, θα μπορούσαν να απενεργοποιήσουν την τοπική αυθεντικοποίηση, να χειριστούν τις τοποθεσίες αναπαραγωγής ή να προσαρμόσουν τις εκδόσεις TLS για να αποδυναμώσουν τους ελέγχους ασφαλείας, καθιστώντας την κακή διαμόρφωση του namespace έναν σημαντικό κίνδυνο μετά την εκμετάλλευση.

az servicebus namespace create --resource-group <ResourceGroupName> --name <NamespaceName> --location <Location>
az servicebus namespace update --resource-group <ResourceGroupName> --name <NamespaceName> --tags <Key=Value>

Ενέργειες: Microsoft.ServiceBus/namespaces/queues/write (Microsoft.ServiceBus/namespaces/queues/read)

Ένας επιτιθέμενος με δικαιώματα για τη δημιουργία ή την τροποποίηση ουρών Azure Service Bus (για να τροποποιήσει την ουρά θα χρειαστεί επίσης την Ενέργεια: Microsoft.ServiceBus/namespaces/queues/read) μπορεί να εκμεταλλευτεί αυτό για να παρεμποδίσει δεδομένα, να διαταράξει ροές εργασίας ή να επιτρέψει μη εξουσιοδοτημένη πρόσβαση. Μπορούν να αλλάξουν κρίσιμες ρυθμίσεις όπως η προώθηση μηνυμάτων σε κακόβουλους προορισμούς, η προσαρμογή του TTL μηνυμάτων για να διατηρήσουν ή να διαγράψουν δεδομένα ακατάλληλα, ή η ενεργοποίηση dead-lettering για να παρεμποδίσουν τη διαχείριση σφαλμάτων. Επιπλέον, θα μπορούσαν να χειριστούν τα μεγέθη των ουρών, τις διάρκειες κλειδώματος ή τις καταστάσεις για να διαταράξουν τη λειτουργικότητα της υπηρεσίας ή να αποφύγουν την ανίχνευση, καθιστώντας αυτό έναν σημαντικό κίνδυνο μετά την εκμετάλλευση.

az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>

Ενέργειες: Microsoft.ServiceBus/namespaces/topics/write (Microsoft.ServiceBus/namespaces/topics/read)

Ένας επιτιθέμενος με δικαιώματα για τη δημιουργία ή την τροποποίηση θεμάτων (για να τροποποιήσει το θέμα θα χρειαστεί επίσης την Ενέργεια: Microsoft.ServiceBus/namespaces/topics/read) εντός ενός Azure Service Bus namespace μπορεί να εκμεταλλευτεί αυτό για να διαταράξει τις ροές μηνυμάτων, να εκθέσει ευαίσθητα δεδομένα ή να επιτρέψει μη εξουσιοδοτημένες ενέργειες. Χρησιμοποιώντας εντολές όπως az servicebus topic update, μπορούν να χειριστούν ρυθμίσεις όπως η ενεργοποίηση κατατμήσεων για κακή χρήση κλιμάκωσης, η τροποποίηση ρυθμίσεων TTL για τη διατήρηση ή την απόρριψη μηνυμάτων ακατάλληλα, ή η απενεργοποίηση ανίχνευσης διπλοτύπων για να παρακάμψουν τους ελέγχους. Επιπλέον, θα μπορούσαν να προσαρμόσουν τα όρια μεγέθους θεμάτων, να αλλάξουν την κατάσταση για να διαταράξουν τη διαθεσιμότητα ή να ρυθμίσουν εκφραστικά θέματα για να αποθηκεύσουν προσωρινά τα παρεμβαλλόμενα μηνύματα, καθιστώντας τη διαχείριση θεμάτων κρίσιμη εστία για την μείωση των επιπτώσεων μετά την εκμετάλλευση.

az servicebus topic create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
az servicebus topic update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>

Ενέργειες: Microsoft.ServiceBus/namespaces/topics/subscriptions/write (Microsoft.ServiceBus/namespaces/topics/subscriptions/read)

Ένας επιτιθέμενος με δικαιώματα για τη δημιουργία ή την τροποποίηση συνδρομών (για να τροποποιήσει τη συνδρομή θα χρειαστεί επίσης την Ενέργεια: Microsoft.ServiceBus/namespaces/topics/subscriptions/read) εντός ενός θέματος Azure Service Bus μπορεί να εκμεταλλευτεί αυτό για να παρεμβάλλει, να ανακατευθύνει ή να διαταράξει τις ροές μηνυμάτων. Χρησιμοποιώντας εντολές όπως az servicebus topic subscription update, μπορούν να χειριστούν ρυθμίσεις όπως η ενεργοποίηση dead lettering για να εκτρέψουν μηνύματα, η προώθηση μηνυμάτων σε μη εξουσιοδοτημένα σημεία, ή η τροποποίηση TTL και διάρκειας κλειδώματος για να διατηρήσουν ή να παρεμποδίσουν την παράδοση μηνυμάτων. Επιπλέον, μπορούν να αλλάξουν τις ρυθμίσεις κατάστασης ή μέγιστου αριθμού παράδοσης για να διαταράξουν τις λειτουργίες ή να αποφύγουν την ανίχνευση, καθιστώντας τον έλεγχο συνδρομών κρίσιμο στοιχείο σε σενάρια μετά την εκμετάλλευση.

az servicebus topic subscription create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
az servicebus topic subscription update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>

Ενέργειες: AuthorizationRules Αποστολή & Λήψη Μηνυμάτων

Ρίξτε μια ματιά εδώ:

Αναφορές

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues

• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api

• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes

• https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-python-how-to-use-topics-subscriptions?tabs=passwordless

• https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus

• https://learn.microsoft.com/en-us/cli/azure/servicebus/namespace?view=azure-cli-latest

• https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest