AWS - ECR Privesc
ECR
ecr:GetAuthorizationToken
,ecr:BatchGetImage
ecr:GetAuthorizationToken
,ecr:BatchGetImage
Un atacante con el ecr:GetAuthorizationToken
y ecr:BatchGetImage
puede iniciar sesión en ECR y descargar imágenes.
Para más información sobre cómo descargar imágenes:
Impacto Potencial: Privesc indirecto al interceptar información sensible en el tráfico.
ecr:GetAuthorizationToken
, ecr:BatchCheckLayerAvailability
, ecr:CompleteLayerUpload
, ecr:InitiateLayerUpload
, ecr:PutImage
, ecr:UploadLayerPart
ecr:GetAuthorizationToken
, ecr:BatchCheckLayerAvailability
, ecr:CompleteLayerUpload
, ecr:InitiateLayerUpload
, ecr:PutImage
, ecr:UploadLayerPart
Un atacante con todos esos permisos puede iniciar sesión en ECR y subir imágenes. Esto puede ser útil para escalar privilegios a otros entornos donde se están utilizando esas imágenes.
Para aprender cómo subir una nueva imagen/actualizar una, consulta:
ecr-public:GetAuthorizationToken
, ecr-public:BatchCheckLayerAvailability, ecr-public:CompleteLayerUpload
, ecr-public:InitiateLayerUpload, ecr-public:PutImage
, ecr-public:UploadLayerPart
ecr-public:GetAuthorizationToken
, ecr-public:BatchCheckLayerAvailability, ecr-public:CompleteLayerUpload
, ecr-public:InitiateLayerUpload, ecr-public:PutImage
, ecr-public:UploadLayerPart
Como la sección anterior, pero para repositorios públicos.
ecr:SetRepositoryPolicy
ecr:SetRepositoryPolicy
Un atacante con este permiso podría cambiar la política del repositorio para otorgarse a sí mismo (o incluso a todos) acceso de lectura/escritura. Por ejemplo, en este ejemplo se otorga acceso de lectura a todos.
Contenido de my-policy.json
:
ecr-public:SetRepositoryPolicy
ecr-public:SetRepositoryPolicy
Como en la sección anterior, pero para repositorios públicos. Un atacante puede modificar la política del repositorio de un repositorio ECR Público para otorgar acceso público no autorizado o para escalar sus privilegios.
Impacto Potencial: Acceso público no autorizado al repositorio ECR Público, permitiendo a cualquier usuario subir, bajar o eliminar imágenes.
ecr:PutRegistryPolicy
ecr:PutRegistryPolicy
Un atacante con este permiso podría cambiar la política del registro para otorgarse a sí mismo, a su cuenta (o incluso a todos) acceso de lectura/escritura.
Last updated