AWS - ECR Privesc
Last updated
Last updated
ecr:GetAuthorizationToken
,ecr:BatchGetImage
Ένας επιτιθέμενος με τις άδειες ecr:GetAuthorizationToken
και ecr:BatchGetImage
μπορεί να συνδεθεί στο ECR και να κατεβάσει εικόνες.
Για περισσότερες πληροφορίες σχετικά με το πώς να κατεβάσετε εικόνες:
Πιθανές Επιπτώσεις: Έμμεση ανέλεγκτη προνομιούχος πρόσβαση με την παρεμπόδιση ευαίσθητων πληροφοριών στην κίνηση.
ecr:GetAuthorizationToken
, ecr:BatchCheckLayerAvailability
, ecr:CompleteLayerUpload
, ecr:InitiateLayerUpload
, ecr:PutImage
, ecr:UploadLayerPart
Ένας επιτιθέμενος με όλες αυτές τις άδειες μπορεί να συνδεθεί στο ECR και να ανεβάσει εικόνες. Αυτό μπορεί να είναι χρήσιμο για την ανέλεγκτη προνομιούχο πρόσβαση σε άλλα περιβάλλοντα όπου χρησιμοποιούνται αυτές οι εικόνες.
Για να μάθετε πώς να ανεβάσετε μια νέα εικόνα/ενημερώσετε μια υπάρχουσα, ελέγξτε:
ecr-public:GetAuthorizationToken
, ecr-public:BatchCheckLayerAvailability, ecr-public:CompleteLayerUpload
, ecr-public:InitiateLayerUpload, ecr-public:PutImage
, ecr-public:UploadLayerPart
Όπως και η προηγούμενη ενότητα, αλλά για δημόσιους αποθετήρια.
ecr:SetRepositoryPolicy
Ένας επιτιθέμενος με αυτήν την άδεια μπορεί να αλλάξει την πολιτική του αποθετηρίου για να χορηγήσει στον εαυτό του (ή ακόμα και σε όλους) πρόσβαση ανάγνωσης/εγγραφής. Για παράδειγμα, σε αυτό το παράδειγμα δίνεται πρόσβαση ανάγνωσης σε όλους.
Περιεχόμενα του my-policy.json
:
ecr-public:SetRepositoryPolicy
Όπως και στην προηγούμενη ενότητα, αλλά για δημόσια αποθετήρια. Ένας επιτιθέμενος μπορεί να τροποποιήσει την πολιτική του αποθετηρίου ενός δημόσιου αποθετηρίου ECR για να χορηγήσει μη εξουσιοδοτημένη δημόσια πρόσβαση ή για να αναβαθμίσει τα δικαιώματά του.
Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη δημόσια πρόσβαση στο δημόσιο αποθετήριο ECR, επιτρέποντας σε οποιονδήποτε χρήστη να ανεβάσει, να κατεβάσει ή να διαγράψει εικόνες.
ecr:PutRegistryPolicy
Ένας επιτιθέμενος με αυτήν την άδεια μπορεί να αλλάξει την πολιτική του αποθετηρίου για να χορηγήσει στον εαυτό του, στον λογαριασμό του (ή ακόμα και σε όλους) πρόσβαση ανάγνωσης/εγγραφής.