AWS - CodeBuild Post Exploitation
Last updated
Last updated
Για περισσότερες πληροφορίες, ελέγξτε:
Για να διαμορφώσετε το CodeBuild, θα χρειαστεί πρόσβαση στον κώδικα του αποθετηρίου που θα χρησιμοποιηθεί. Πολλές πλατφόρμες μπορεί να φιλοξενούν αυτόν τον κώδικα:
Το έργο CodeBuild πρέπει να έχει πρόσβαση στον διαμορφωμένο πάροχο πηγής, είτε μέσω ρόλου IAM είτε με ένα token ή OAuth πρόσβασης για το github/bitbucket.
Ένας επιτιθέμενος με αυξημένα δικαιώματα σε ένα CodeBuild μπορεί να καταχραστεί αυτήν την πρόσβαση για να διαρρεύσει τον κώδικα του διαμορφωμένου αποθετηρίου και άλλων αποθετηρίων στα οποία οι ρυθμισμένες πιστοποιήσεις έχουν πρόσβαση. Για να το κάνει αυτό, ένας επιτιθέμενος θα χρειαστεί απλά να αλλάξει το URL του αποθετηρίου για κάθε αποθετήριο στο οποίο οι πιστοποιήσεις έχουν πρόσβαση (σημειώστε ότι η ιστοσελίδα της aws θα τα εμφανίσει όλα για εσάς):
Και αλλάξτε τις εντολές Buildspec για να διαρρεύσετε κάθε αποθετήριο.
Ωστόσο, αυτή η εργασία είναι επαναλαμβανόμενη και κουραστική και εάν ένα token του github έχει διαμορφωθεί με δικαιώματα εγγραφής, ένας επιτιθέμενος δεν θα μπορεί να καταχραστεί αυτά τα δικαιώματα καθώς δεν έχει πρόσβαση στο token. Ή μήπως έχει; Ελέγξτε την επόμενη ενότητα
Μπορείτε να διαρρεύσετε την πρόσβαση που δόθηκε στο CodeBuild σε πλατφόρμες όπως το Github. Ελέγξτε εάν δόθηκε πρόσβαση σε εξωτερικές πλατφόρμες με:
codebuild:DeleteProject
Ένας επιτιθέμενος μπορεί να διαγράψει ολόκληρο ένα έργο CodeBuild, προκαλώντας απώλεια της διαμόρφωσης του έργου και επηρεάζοντας εφαρμογές που εξαρτώνται από το έργο.
Πιθανές Επιπτώσεις: Απώλεια της διαμόρφωσης του έργου και διακοπή των υπηρεσιών για τις εφαρμογές που χρησιμοποιούν το διαγραμμένο έργο.
codebuild:TagResource
, codebuild:UntagResource
Ένας επιτιθέμενος μπορεί να προσθέσει, τροποποιήσει ή να αφαιρέσει ετικέτες από τους πόρους του CodeBuild, διαταράσσοντας την κατανομή του κόστους, την παρακολούθηση των πόρων και τις πολιτικές ελέγχου πρόσβασης της οργάνωσής σας βασισμένες στις ετικέτες.
Πιθανές Επιπτώσεις: Διαταραχή της κατανομής του κόστους, της παρακολούθησης των πόρων και των πολιτικών ελέγχου πρόσβασης με βάση τις ετικέτες.
codebuild:DeleteSourceCredentials
Ένας επιτιθέμενος μπορεί να διαγράψει τα διαπιστευτήρια πηγής για ένα αποθετήριο Git, επηρεάζοντας την κανονική λειτουργία των εφαρμογών που εξαρτώνται από το αποθετήριο.
Πιθανές Επιπτώσεις: Διαταραχή της κανονικής λειτουργίας για εφαρμογές που εξαρτώνται από τον επηρεασμένο αποθετήριο λόγω της αφαίρεσης των διαπιστευτηρίων πηγής.