Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector es un servicio avanzado y automatizado de gestión de vulnerabilidades diseñado para mejorar la seguridad de su entorno AWS. Este servicio escanea continuamente instancias de Amazon EC2, imágenes de contenedores en Amazon ECR, Amazon ECS y funciones de AWS Lambda en busca de vulnerabilidades y exposiciones de red no intencionadas. Al aprovechar una robusta base de datos de inteligencia de vulnerabilidades, Amazon Inspector proporciona hallazgos detallados, incluidos niveles de severidad y recomendaciones de remediación, ayudando a las organizaciones a identificar y abordar proactivamente los riesgos de seguridad. Este enfoque integral asegura una postura de seguridad fortalecida en varios servicios de AWS, ayudando en el cumplimiento y la gestión de riesgos.
Los hallazgos en Amazon Inspector son informes detallados sobre vulnerabilidades y exposiciones descubiertas durante el escaneo de instancias de EC2, repositorios de ECR o funciones de Lambda. Según su estado, los hallazgos se clasifican como:
Active: El hallazgo no ha sido remediado.
Closed: El hallazgo ha sido remediado.
Suppressed: El hallazgo ha sido marcado con este estado debido a una o más reglas de supresión.
Los hallazgos también se clasifican en los siguientes tres tipos:
Package: Estos hallazgos se relacionan con vulnerabilidades en paquetes de software instalados en sus recursos. Ejemplos incluyen bibliotecas desactualizadas o dependencias con problemas de seguridad conocidos.
Code: Esta categoría incluye vulnerabilidades encontradas en el código de aplicaciones que se ejecutan en sus recursos de AWS. Los problemas comunes son errores de codificación o prácticas inseguras que podrían llevar a brechas de seguridad.
Network: Los hallazgos de red identifican exposiciones potenciales en configuraciones de red que podrían ser explotadas por atacantes. Estos incluyen puertos abiertos, protocolos de red inseguros y grupos de seguridad mal configurados.
Los filtros y las reglas de supresión en Amazon Inspector ayudan a gestionar y priorizar los hallazgos. Los filtros le permiten refinar los hallazgos según criterios específicos, como severidad o tipo de recurso. Las reglas de supresión le permiten suprimir ciertos hallazgos que se consideran de bajo riesgo, que ya han sido mitigados, o por cualquier otra razón importante, evitando que sobrecarguen sus informes de seguridad y permitiéndole centrarse en problemas más críticos.
Un Software Bill of Materials (SBOM) en Amazon Inspector es una lista de inventario anidada exportable que detalla todos los componentes dentro de un paquete de software, incluidas bibliotecas y dependencias. Los SBOM ayudan a proporcionar transparencia en la cadena de suministro de software, permitiendo una mejor gestión de vulnerabilidades y cumplimiento. Son cruciales para identificar y mitigar riesgos asociados con componentes de software de código abierto y de terceros.
Amazon Inspector ofrece la capacidad de exportar hallazgos a Amazon S3 Buckets, Amazon EventBridge y AWS Security Hub, lo que le permite generar informes detallados de vulnerabilidades y exposiciones identificadas para un análisis posterior o compartir en una fecha y hora específicas. Esta función admite varios formatos de salida, como CSV y JSON, lo que facilita la integración con otras herramientas y sistemas. La funcionalidad de exportación permite la personalización de los datos incluidos en los informes, lo que le permite filtrar hallazgos según criterios específicos como severidad, tipo de recurso o rango de fechas e incluir por defecto todos sus hallazgos en la región AWS actual con un estado Activo.
Al exportar hallazgos, se necesita una clave de Key Management Service (KMS) para cifrar los datos durante la exportación. Las claves KMS aseguran que los hallazgos exportados estén protegidos contra el acceso no autorizado, proporcionando una capa adicional de seguridad para la información sensible de vulnerabilidades.
Amazon Inspector ofrece robustas capacidades de escaneo para instancias de Amazon EC2 para detectar vulnerabilidades y problemas de seguridad. Inspector comparó los metadatos extraídos de la instancia de EC2 con reglas de avisos de seguridad para producir vulnerabilidades de paquetes y problemas de accesibilidad de red. Estos escaneos se pueden realizar a través de métodos basados en agente o sin agente, dependiendo de la configuración de los ajustes de modo de escaneo de su cuenta.
Agent-Based: Utiliza el agente de AWS Systems Manager (SSM) para realizar escaneos en profundidad. Este método permite una recopilación y análisis de datos exhaustivos directamente desde la instancia.
Agentless: Proporciona una alternativa ligera que no requiere la instalación de un agente en la instancia, creando un snapshot de EBS de cada volumen de la instancia de EC2, buscando vulnerabilidades y luego eliminándolo; aprovechando la infraestructura existente de AWS para el escaneo.
El modo de escaneo determina qué método se utilizará para realizar escaneos de EC2:
Agent-Based: Implica la instalación del agente SSM en instancias de EC2 para una inspección profunda.
Hybrid Scanning: Combina métodos basados en agente y sin agente para maximizar la cobertura y minimizar el impacto en el rendimiento. En aquellas instancias de EC2 donde el agente SSM está instalado, Inspector realizará un escaneo basado en agente, y para aquellas donde no hay agente SSM, el escaneo realizado será sin agente.
Otra característica importante es la inspección profunda para instancias de Linux de EC2. Esta función ofrece un análisis exhaustivo del software y la configuración de las instancias de Linux de EC2, proporcionando evaluaciones detalladas de vulnerabilidades, incluidas vulnerabilidades del sistema operativo, vulnerabilidades de aplicaciones y configuraciones incorrectas, asegurando una evaluación de seguridad integral. Esto se logra a través de la inspección de rutas personalizadas y todos sus subdirectorios. Por defecto, Amazon Inspector escaneará lo siguiente, pero cada cuenta miembro puede definir hasta 5 rutas personalizadas más, y cada administrador delegado hasta 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector proporciona robustas capacidades de escaneo para imágenes de contenedores de Amazon Elastic Container Registry (ECR), asegurando que las vulnerabilidades de paquetes sean detectadas y gestionadas de manera eficiente.
Basic Scanning: Este es un escaneo rápido y ligero que identifica vulnerabilidades conocidas de paquetes de SO en imágenes de contenedores utilizando un conjunto estándar de reglas del proyecto de código abierto Clair. Con esta configuración de escaneo, sus repositorios serán escaneados al hacer push, o realizando escaneos manuales.
Enhanced Scanning: Esta opción agrega la función de escaneo continuo además del escaneo al hacer push. El escaneo mejorado profundiza en las capas de cada imagen de contenedor para identificar vulnerabilidades en paquetes de SO y en paquetes de lenguajes de programación con mayor precisión. Analiza tanto la imagen base como cualquier capa adicional, proporcionando una vista completa de los posibles problemas de seguridad.
Amazon Inspector incluye capacidades de escaneo completas para funciones de AWS Lambda y sus capas, asegurando la seguridad e integridad de las aplicaciones sin servidor. Inspector ofrece dos tipos de escaneo para funciones de Lambda:
Lambda standard scanning: Esta función predeterminada identifica vulnerabilidades de software en las dependencias del paquete de aplicación añadidas a su función de Lambda y capas. Por ejemplo, si su función utiliza una versión de una biblioteca como python-jwt con una vulnerabilidad conocida, genera un hallazgo.
Lambda code scanning: Analiza el código de la aplicación personalizada en busca de problemas de seguridad, detectando vulnerabilidades como fallos de inyección, filtraciones de datos, criptografía débil y falta de cifrado. Captura fragmentos de código que destacan las vulnerabilidades detectadas, como credenciales codificadas. Los hallazgos incluyen sugerencias de remediación detalladas y fragmentos de código para solucionar los problemas.
Amazon Inspector incluye escaneos CIS para evaluar los sistemas operativos de instancias de Amazon EC2 en comparación con las recomendaciones de mejores prácticas del Center for Internet Security (CIS). Estos escaneos aseguran que las configuraciones se adhieran a las bases de seguridad estándar de la industria.
Configuration: Los escaneos CIS evalúan si las configuraciones del sistema cumplen con recomendaciones específicas del CIS Benchmark, con cada verificación vinculada a un ID de verificación y título del CIS.
Execution: Los escaneos se realizan o programan en función de las etiquetas de instancia y los horarios definidos.
Results: Los resultados posteriores al escaneo indican qué verificaciones pasaron, se saltaron o fallaron, proporcionando información sobre la postura de seguridad de cada instancia.
Desde la perspectiva de un atacante, este servicio puede ayudar al atacante a encontrar vulnerabilidades y exposiciones de red que podrían ayudarle a comprometer otras instancias/contenedores.
Sin embargo, un atacante también podría estar interesado en interrumpir este servicio para que la víctima no pueda ver vulnerabilidades (todas o específicas).
inspector2:CreateFindingsReport, inspector2:CreateSBOMReportUn atacante podría generar informes detallados de vulnerabilidades o listas de materiales de software (SBOMs) y exfiltrarlos de su entorno de AWS. Esta información podría ser explotada para identificar debilidades específicas, software desactualizado o dependencias inseguras, lo que permitiría ataques dirigidos.
El siguiente ejemplo muestra cómo exfiltrar todos los hallazgos activos de Amazon Inspector a un bucket de Amazon S3 controlado por el atacante con una clave de Amazon KMS controlada por el atacante:
Cree un bucket de Amazon S3 y adjunte una política a él para que sea accesible desde el Amazon Inspector de la víctima:
Crea una clave de Amazon KMS y adjunta una política a ella para que sea utilizable por el Amazon Inspector de la víctima:
Ejecuta el comando para crear el informe de hallazgos exfiltrándolo:
Impacto Potencial: Generación y exfiltración de informes detallados de vulnerabilidades y software, obteniendo información sobre vulnerabilidades específicas y debilidades de seguridad.
inspector2:CancelFindingsReport, inspector2:CancelSbomExportUn atacante podría cancelar la generación del informe de hallazgos especificado o del informe SBOM, impidiendo que los equipos de seguridad reciban información oportuna sobre vulnerabilidades y la lista de materiales de software (SBOM), retrasando la detección y remediación de problemas de seguridad.
Impacto Potencial: Disrupción de la monitorización de seguridad y prevención de la detección y remediación oportuna de problemas de seguridad.
inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilterUn atacante con estos permisos podría manipular las reglas de filtrado que determinan qué vulnerabilidades y problemas de seguridad se informan o suprimen (si la acción se establece en SUPPRESS, se crearía una regla de supresión). Esto podría ocultar vulnerabilidades críticas de los administradores de seguridad, facilitando la explotación de estas debilidades sin detección. Al alterar o eliminar filtros importantes, un atacante también podría crear ruido inundando el sistema con hallazgos irrelevantes, obstaculizando la monitorización y respuesta de seguridad efectivas.
Impacto Potencial: Ocultación o supresión de vulnerabilidades críticas, o inundación del sistema con hallazgos irrelevantes.
inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)Un atacante podría interrumpir significativamente la estructura de gestión de seguridad.
Al deshabilitar la cuenta de administrador delegado, el atacante podría impedir que el equipo de seguridad acceda y gestione la configuración y los informes de Amazon Inspector.
Habilitar una cuenta de administrador no autorizada permitiría a un atacante controlar las configuraciones de seguridad, potencialmente deshabilitando escaneos o modificando configuraciones para ocultar actividades maliciosas.
Se requiere que la cuenta no autorizada esté en la misma Organización que la víctima para convertirse en el administrador delegado.
Para que la cuenta no autorizada se convierta en el administrador delegado, también se requiere que después de que el administrador delegado legítimo sea deshabilitado, y antes de que la cuenta no autorizada sea habilitada como el administrador delegado, el administrador legítimo debe ser desregistrado como el administrador delegado de la organización. Esto se puede hacer con el siguiente comando (organizations:DeregisterDelegatedAdministrator permiso requerido): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Impacto Potencial: Disrupción de la gestión de seguridad.
inspector2:AssociateMember, inspector2:DisassociateMemberUn atacante podría manipular la asociación de cuentas miembros dentro de una organización de Amazon Inspector. Al asociar cuentas no autorizadas o desasociar cuentas legítimas, un atacante podría controlar qué cuentas se incluyen en los escaneos de seguridad y en los informes. Esto podría llevar a que cuentas críticas sean excluidas de la monitorización de seguridad, permitiendo al atacante explotar vulnerabilidades en esas cuentas sin ser detectado.
Esta acción debe ser realizada por el administrador delegado.
Impacto Potencial: Exclusión de cuentas clave de los escaneos de seguridad, lo que permite la explotación no detectada de vulnerabilidades.
inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)Un atacante con el permiso inspector2:Disable podría deshabilitar los escaneos de seguridad en tipos de recursos específicos (EC2, ECR, Lambda, código de Lambda) sobre las cuentas especificadas, dejando partes del entorno de AWS sin supervisión y vulnerables a ataques. Además, gracias a los permisos inspector2:Enable & iam:CreateServiceLinkedRole, un atacante podría volver a habilitar escaneos selectivamente para evitar la detección de configuraciones sospechosas.
Esta acción debe ser realizada por el administrador delegado.
Impacto Potencial: Creación de puntos ciegos en la monitorización de seguridad.
inspector2:UpdateOrganizationConfigurationUn atacante con este permiso podría actualizar las configuraciones para su organización de Amazon Inspector, afectando las características de escaneo predeterminadas habilitadas para nuevas cuentas de miembros.
Esta acción debe ser realizada por el administrador delegado.
Impacto Potencial: Alterar políticas y configuraciones de escaneo de seguridad para la organización.
inspector2:TagResource, inspector2:UntagResourceUn atacante podría manipular etiquetas en los recursos de AWS Inspector, que son críticos para organizar, rastrear y automatizar evaluaciones de seguridad. Al alterar o eliminar etiquetas, un atacante podría potencialmente ocultar vulnerabilidades de los escaneos de seguridad, interrumpir los informes de cumplimiento e interferir con los procesos de remediación automatizados, lo que llevaría a problemas de seguridad no controlados y a la integridad del sistema comprometida.
Impacto Potencial: Ocultamiento de vulnerabilidades, interrupción de informes de cumplimiento, interrupción de la automatización de seguridad y interrupción de la asignación de costos.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
