AWS - Inspector Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector एक उन्नत, स्वचालित भेद्यता प्रबंधन सेवा है जिसे आपके AWS वातावरण की सुरक्षा बढ़ाने के लिए डिज़ाइन किया गया है। यह सेवा लगातार Amazon EC2 उदाहरणों, Amazon ECR में कंटेनर छवियों, Amazon ECS, और AWS Lambda कार्यों के लिए भेद्यताओं और अनपेक्षित नेटवर्क एक्सपोजर के लिए स्कैन करती है। एक मजबूत भेद्यता खुफिया डेटाबेस का लाभ उठाकर, Amazon Inspector विस्तृत निष्कर्ष प्रदान करता है, जिसमें गंभीरता स्तर और सुधार सिफारिशें शामिल हैं, जो संगठनों को सक्रिय रूप से सुरक्षा जोखिमों की पहचान और समाधान में मदद करती हैं। यह व्यापक दृष्टिकोण विभिन्न AWS सेवाओं में एक मजबूत सुरक्षा स्थिति सुनिश्चित करता है, अनुपालन और जोखिम प्रबंधन में सहायता करता है।
Amazon Inspector में निष्कर्ष EC2 उदाहरणों, ECR रिपॉजिटरी, या Lambda कार्यों के स्कैन के दौरान खोजी गई भेद्यताओं और एक्सपोजर के बारे में विस्तृत रिपोर्ट हैं। इसके राज्य के आधार पर, निष्कर्षों को निम्नलिखित श्रेणियों में वर्गीकृत किया जाता है:
Active: निष्कर्ष का समाधान नहीं किया गया है।
Closed: निष्कर्ष का समाधान किया गया है।
Suppressed: निष्कर्ष को एक या अधिक suppression rules के कारण इस स्थिति के साथ चिह्नित किया गया है।
निष्कर्षों को अगले तीन प्रकारों में भी वर्गीकृत किया जाता है:
Package: ये निष्कर्ष आपके संसाधनों पर स्थापित सॉफ़्टवेयर पैकेज में भेद्यताओं से संबंधित हैं। उदाहरणों में पुराने पुस्तकालय या ज्ञात सुरक्षा मुद्दों वाले निर्भरताएँ शामिल हैं।
Code: इस श्रेणी में आपके AWS संसाधनों पर चलने वाले अनुप्रयोगों के कोड में पाए जाने वाले भेद्यताएँ शामिल हैं। सामान्य मुद्दे कोडिंग त्रुटियाँ या असुरक्षित प्रथाएँ हैं जो सुरक्षा उल्लंघनों का कारण बन सकती हैं।
Network: नेटवर्क निष्कर्ष संभावित एक्सपोजर की पहचान करते हैं जो नेटवर्क कॉन्फ़िगरेशन में हो सकते हैं जिन्हें हमलावरों द्वारा शोषित किया जा सकता है। इनमें खुले पोर्ट, असुरक्षित नेटवर्क प्रोटोकॉल, और गलत कॉन्फ़िगर किए गए सुरक्षा समूह शामिल हैं।
Amazon Inspector में फ़िल्टर और दमन नियम निष्कर्षों का प्रबंधन और प्राथमिकता देने में मदद करते हैं। फ़िल्टर आपको गंभीरता या संसाधन प्रकार जैसे विशिष्ट मानदंडों के आधार पर निष्कर्षों को परिष्कृत करने की अनुमति देते हैं। दमन नियम आपको कुछ निष्कर्षों को दबाने की अनुमति देते हैं जिन्हें कम जोखिम माना जाता है, जिन्हें पहले ही कम किया गया है, या किसी अन्य महत्वपूर्ण कारण से, जिससे वे आपकी सुरक्षा रिपोर्ट को अधिभारित करने से रोकते हैं और आपको अधिक महत्वपूर्ण मुद्दों पर ध्यान केंद्रित करने की अनुमति देते हैं।
Amazon Inspector में सॉफ़्टवेयर बिल ऑफ़ मटेरियल्स (SBOM) एक निर्यात योग्य नेस्टेड इन्वेंटरी सूची है जो एक सॉफ़्टवेयर पैकेज के भीतर सभी घटकों का विवरण देती है, जिसमें पुस्तकालय और निर्भरताएँ शामिल हैं। SBOMs सॉफ़्टवेयर आपूर्ति श्रृंखला में पारदर्शिता प्रदान करने में मदद करते हैं, बेहतर भेद्यता प्रबंधन और अनुपालन को सक्षम करते हैं। ये ओपन-सोर्स और तृतीय-पक्ष सॉफ़्टवेयर घटकों से संबंधित जोखिमों की पहचान और कम करने के लिए महत्वपूर्ण हैं।
Amazon Inspector निष्कर्षों को Amazon S3 Buckets, Amazon EventBridge और AWS Security Hub में निर्यात करने की क्षमता प्रदान करता है, जिससे आप पहचानी गई भेद्यताओं और एक्सपोजर की विस्तृत रिपोर्ट उत्पन्न कर सकते हैं जो आगे विश्लेषण या किसी विशेष तिथि और समय पर साझा करने के लिए होती है। यह सुविधा CSV और JSON जैसे विभिन्न आउटपुट प्रारूपों का समर्थन करती है, जिससे अन्य उपकरणों और प्रणालियों के साथ एकीकृत करना आसान हो जाता है। निर्यात कार्यक्षमता रिपोर्ट में शामिल डेटा को अनुकूलित करने की अनुमति देती है, जिससे आप गंभीरता, संसाधन प्रकार, या तिथि सीमा जैसे विशिष्ट मानदंडों के आधार पर निष्कर्षों को फ़िल्टर कर सकते हैं और डिफ़ॉल्ट रूप से आपके सभी निष्कर्षों को वर्तमान AWS क्षेत्र में सक्रिय स्थिति के साथ शामिल कर सकते हैं।
निष्कर्षों को निर्यात करते समय, डेटा को निर्यात के दौरान एन्क्रिप्ट करने के लिए एक की प्रबंधन सेवा (KMS) कुंजी आवश्यक है। KMS कुंजी सुनिश्चित करती हैं कि निर्यातित निष्कर्ष अनधिकृत पहुंच से सुरक्षित हैं, संवेदनशील भेद्यता जानकारी के लिए एक अतिरिक्त सुरक्षा परत प्रदान करती हैं।
Amazon Inspector Amazon EC2 उदाहरणों के लिए भेद्यताओं और सुरक्षा मुद्दों का पता लगाने के लिए मजबूत स्कैनिंग क्षमताएँ प्रदान करता है। Inspector ने EC2 उदाहरण से निकाले गए मेटाडेटा की तुलना सुरक्षा सलाहकारों के नियमों के खिलाफ की ताकि पैकेज भेद्यताओं और नेटवर्क पहुंच संबंधी मुद्दों का उत्पादन किया जा सके। ये स्कैन एजेंट-आधारित या एजेंटलेस विधियों के माध्यम से किए जा सकते हैं, जो आपके खाते की स्कैन मोड सेटिंग्स कॉन्फ़िगरेशन पर निर्भर करते हैं।
Agent-Based: गहन स्कैन करने के लिए AWS Systems Manager (SSM) एजेंट का उपयोग करता है। यह विधि उदाहरण से सीधे डेटा संग्रह और विश्लेषण की अनुमति देती है।
Agentless: एक हल्का विकल्प प्रदान करता है जिसे उदाहरण पर एजेंट स्थापित करने की आवश्यकता नहीं होती है, EC2 उदाहरण के प्रत्येक वॉल्यूम का EBS स्नैपशॉट बनाता है, भेद्यताओं की तलाश करता है, और फिर इसे हटा देता है; स्कैनिंग के लिए मौजूदा AWS अवसंरचना का लाभ उठाता है।
स्कैन मोड यह निर्धारित करता है कि EC2 स्कैन करने के लिए कौन सी विधि का उपयोग किया जाएगा:
Agent-Based: गहन निरीक्षण के लिए EC2 उदाहरणों पर SSM एजेंट स्थापित करना शामिल है।
Hybrid Scanning: कवरेज को अधिकतम करने और प्रदर्शन प्रभाव को कम करने के लिए एजेंट-आधारित और एजेंटलेस विधियों को संयोजित करता है। उन EC2 उदाहरणों में जहां SSM एजेंट स्थापित है, Inspector एजेंट-आधारित स्कैन करेगा, और जहां कोई SSM एजेंट नहीं है, वहां स्कैन एजेंटलेस किया जाएगा।
एक और महत्वपूर्ण विशेषता EC2 Linux उदाहरणों के लिए गहन निरीक्षण है। यह विशेषता EC2 Linux उदाहरणों के सॉफ़्टवेयर और कॉन्फ़िगरेशन का गहन विश्लेषण प्रदान करती है, जिसमें ऑपरेटिंग सिस्टम की भेद्यताएँ, अनुप्रयोग की भेद्यताएँ, और गलत कॉन्फ़िगरेशन शामिल हैं, जो एक व्यापक सुरक्षा मूल्यांकन सुनिश्चित करती हैं। यह कस्टम पथों और इसके सभी उप-निर्देशिकाओं के निरीक्षण के माध्यम से प्राप्त किया जाता है। डिफ़ॉल्ट रूप से, Amazon Inspector निम्नलिखित को स्कैन करेगा, लेकिन प्रत्येक सदस्य खाता 5 और कस्टम पथों को परिभाषित कर सकता है, और प्रत्येक प्रतिनिधि प्रशासक 10 तक:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector Amazon Elastic Container Registry (ECR) कंटेनर छवियों के लिए मजबूत स्कैनिंग क्षमताएँ प्रदान करता है, यह सुनिश्चित करते हुए कि पैकेज भेद्यताएँ प्रभावी ढंग से पहचानी और प्रबंधित की जाती हैं।
Basic Scanning: यह एक त्वरित और हल्का स्कैन है जो कंटेनर छवियों में ज्ञात OS पैकेज भेद्यताओं की पहचान करता है, जो ओपन-सोर्स क्लेयर प्रोजेक्ट से मानक नियमों के सेट का उपयोग करता है। इस स्कैनिंग कॉन्फ़िगरेशन के साथ, आपके रिपॉजिटरी को पुश पर स्कैन किया जाएगा, या मैनुअल स्कैन करते समय।
Enhanced Scanning: यह विकल्प पुश स्कैन के अलावा निरंतर स्कैनिंग सुविधा जोड़ता है। Enhanced scanning प्रत्येक कंटेनर छवि की परतों में गहराई से जाती है ताकि OS पैकेजों और प्रोग्रामिंग भाषाओं के पैकेजों में भेद्यताओं की उच्च सटीकता के साथ पहचान की जा सके। यह आधार छवि और किसी भी अतिरिक्त परतों का विश्लेषण करता है, संभावित सुरक्षा मुद्दों का एक व्यापक दृश्य प्रदान करता है।
Amazon Inspector AWS Lambda कार्यों और इसकी परतों के लिए व्यापक स्कैनिंग क्षमताएँ शामिल करता है, जो सर्वर रहित अनुप्रयोगों की सुरक्षा और अखंडता सुनिश्चित करता है। Inspector Lambda कार्यों के लिए दो प्रकार की स्कैनिंग प्रदान करता है:
Lambda standard scanning: यह डिफ़ॉल्ट सुविधा आपके Lambda कार्य और परतों में जोड़े गए सॉफ़्टवेयर भेद्यताओं की पहचान करती है। उदाहरण के लिए, यदि आपका कार्य किसी पुस्तकालय के संस्करण का उपयोग करता है जैसे python-jwt जिसमें ज्ञात भेद्यता है, तो यह एक निष्कर्ष उत्पन्न करता है।
Lambda code scanning: सुरक्षा मुद्दों के लिए कस्टम अनुप्रयोग कोड का विश्लेषण करता है, जैसे कि इंजेक्शन दोष, डेटा लीक, कमजोर क्रिप्टोग्राफी, और एन्क्रिप्शन की कमी। यह पहचान की गई भेद्यताओं को उजागर करने वाले कोड स्निपेट्स को कैप्चर करता है, जैसे हार्डकोडेड क्रेडेंशियल्स। निष्कर्षों में समस्या को ठीक करने के लिए विस्तृत सुधार सुझाव और कोड स्निपेट्स शामिल हैं।
Amazon Inspector CIS स्कैन शामिल करता है ताकि Amazon EC2 उदाहरण ऑपरेटिंग सिस्टम को Center for Internet Security (CIS) से सर्वश्रेष्ठ प्रथा सिफारिशों के खिलाफ बेंचमार्क किया जा सके। ये स्कैन सुनिश्चित करते हैं कि कॉन्फ़िगरेशन उद्योग-मानक सुरक्षा बुनियादी बातों का पालन करते हैं।
Configuration: CIS स्कैन यह मूल्यांकन करते हैं कि क्या सिस्टम कॉन्फ़िगरेशन विशिष्ट CIS बेंचमार्क सिफारिशों को पूरा करते हैं, प्रत्येक जांच को एक CIS जांच आईडी और शीर्षक से जोड़ा जाता है।
Execution: स्कैन उदाहरण टैग और परिभाषित शेड्यूल के आधार पर किए जाते हैं या निर्धारित किए जाते हैं।
Results: स्कैन के बाद के परिणाम यह संकेत करते हैं कि कौन सी जांच पास, स्किप, या फेल हुई, प्रत्येक उदाहरण की सुरक्षा स्थिति में अंतर्दृष्टि प्रदान करते हैं।
हमलावर के दृष्टिकोण से, यह सेवा हमलावर को कमजोरियों और नेटवर्क एक्सपोजर को खोजने में मदद कर सकती है जो उसे अन्य इंस्टेंस/कंटेनरों को समझौता करने में मदद कर सकती है।
हालांकि, एक हमलावर इस सेवा को बाधित करने में भी रुचि रख सकता है ताकि पीड़ित कमजोरियों (सभी या विशिष्ट) को न देख सके।
inspector2:CreateFindingsReport
, inspector2:CreateSBOMReport
एक हमलावर कमजोरियों या सॉफ़्टवेयर बिल ऑफ मटेरियल्स (SBOMs) की विस्तृत रिपोर्ट उत्पन्न कर सकता है और उन्हें आपके AWS वातावरण से निकाल सकता है। इस जानकारी का उपयोग विशिष्ट कमजोरियों, पुराने सॉफ़्टवेयर, या असुरक्षित निर्भरताओं की पहचान करने के लिए किया जा सकता है, जिससे लक्षित हमलों को सक्षम किया जा सकता है।
एक Amazon S3 बकेट बनाएं और इसे एक नीति संलग्न करें ताकि यह पीड़ित Amazon Inspector से सुलभ हो:
एक Amazon KMS कुंजी बनाएं और इसे पीड़ित के Amazon Inspector द्वारा उपयोग करने के लिए एक नीति संलग्न करें:
खोज रिपोर्ट बनाने के लिए कमांड निष्पादित करें, इसे एक्सफिल्ट्रेट करते हुए:
संभावित प्रभाव: विस्तृत कमजोरियों और सॉफ़्टवेयर रिपोर्टों की पीढ़ी और निकासी, विशिष्ट कमजोरियों और सुरक्षा कमजोरियों के बारे में अंतर्दृष्टि प्राप्त करना।
inspector2:CancelFindingsReport
, inspector2:CancelSbomExport
एक हमलावर निर्दिष्ट निष्कर्ष रिपोर्ट या SBOM रिपोर्ट की पीढ़ी को रद्द कर सकता है, सुरक्षा टीमों को कमजोरियों और सॉफ़्टवेयर बिल ऑफ मटेरियल्स (SBOMs) के बारे में समय पर जानकारी प्राप्त करने से रोकता है, सुरक्षा मुद्दों की पहचान और सुधार में देरी करता है।
संभावित प्रभाव: सुरक्षा निगरानी में बाधा और सुरक्षा मुद्दों की समय पर पहचान और सुधार की रोकथाम।
inspector2:CreateFilter
, inspector2:UpdateFilter
, inspector2:DeleteFilter
इन अनुमतियों के साथ एक हमलावर उन फ़िल्टरिंग नियमों में हेरफेर कर सकेगा जो यह निर्धारित करते हैं कि कौन सी कमजोरियाँ और सुरक्षा मुद्दे रिपोर्ट किए जाते हैं या दबाए जाते हैं (यदि क्रिया SUPPRESS पर सेट की गई है, तो एक दबाने वाला नियम बनाया जाएगा)। इससे सुरक्षा प्रशासकों से महत्वपूर्ण कमजोरियाँ छिप सकती हैं, जिससे इन कमजोरियों का शोषण करना बिना पहचान के आसान हो जाता है। महत्वपूर्ण फ़िल्टर को बदलकर या हटाकर, एक हमलावर अप्रासंगिक निष्कर्षों के साथ सिस्टम को भरकर शोर भी पैदा कर सकता है, जिससे प्रभावी सुरक्षा निगरानी और प्रतिक्रिया में बाधा आती है।
संभावित प्रभाव: महत्वपूर्ण कमजोरियों का छिपाना या दबाना, या प्रणाली को अप्रासंगिक निष्कर्षों से भरना।
inspector2:DisableDelegatedAdminAccount
, (inspector2:EnableDelegatedAdminAccount
& organizations:ListDelegatedAdministrators
& organizations:EnableAWSServiceAccess
& iam:CreateServiceLinkedRole
)एक हमलावर सुरक्षा प्रबंधन संरचना को महत्वपूर्ण रूप से बाधित कर सकता है।
प्रतिनिधि प्रशासनिक खाते को निष्क्रिय करके, हमलावर सुरक्षा टीम को Amazon Inspector सेटिंग्स और रिपोर्टों तक पहुँचने और प्रबंधित करने से रोक सकता है।
एक अनधिकृत प्रशासनिक खाते को सक्षम करने से हमलावर को सुरक्षा कॉन्फ़िगरेशन को नियंत्रित करने की अनुमति मिलेगी, संभावित रूप से स्कैन को निष्क्रिय करने या सेटिंग्स को संशोधित करने के लिए ताकि दुर्भावनापूर्ण गतिविधियों को छिपाया जा सके।
अनधिकृत खाते को प्रतिनिधि प्रशासक बनने के लिए पीड़ित के समान संगठन में होना आवश्यक है।
अनधिकृत खाते को प्रतिनिधि प्रशासक बनने के लिए, यह भी आवश्यक है कि जब वैध प्रतिनिधि प्रशासक को निष्क्रिय किया जाए, और अनधिकृत खाते को प्रतिनिधि प्रशासक के रूप में सक्षम करने से पहले, वैध प्रशासक को संगठन से प्रतिनिधि प्रशासक के रूप में हटा दिया जाए। यह निम्नलिखित कमांड के साथ किया जा सकता है (organizations:DeregisterDelegatedAdministrator
अनुमति आवश्यक): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
संभावित प्रभाव: सुरक्षा प्रबंधन में विघटन।
inspector2:AssociateMember
, inspector2:DisassociateMember
एक हमलावर Amazon Inspector संगठन के भीतर सदस्य खातों के संघ को हेरफेर कर सकता है। अनधिकृत खातों को जोड़कर या वैध खातों को अलग करके, एक हमलावर यह नियंत्रित कर सकता है कि कौन से खाते सुरक्षा स्कैन और रिपोर्टिंग में शामिल हैं। इससे महत्वपूर्ण खातों को सुरक्षा निगरानी से बाहर रखा जा सकता है, जिससे हमलावर उन खातों में कमजोरियों का लाभ उठाने में सक्षम हो सकता है बिना किसी पहचान के।
यह क्रिया प्रतिनिधि प्रशासक द्वारा की जानी चाहिए।
संभावित प्रभाव: सुरक्षा स्कैन से प्रमुख खातों का बहिष्कार, कमजोरियों के शोषण को बिना पता लगाए सक्षम बनाना।
inspector2:Disable
, (inspector2:Enable
& iam:CreateServiceLinkedRole
)inspector2:Disable
अनुमति वाला एक हमलावर विशिष्ट संसाधन प्रकारों (EC2, ECR, Lambda, Lambda कोड) पर सुरक्षा स्कैन को निष्क्रिय करने में सक्षम होगा, जिससे AWS वातावरण के कुछ हिस्से बिना निगरानी के और हमलों के प्रति संवेदनशील रहेंगे। इसके अलावा, inspector2:Enable
& iam:CreateServiceLinkedRole
अनुमतियों के कारण, एक हमलावर फिर से चयनात्मक रूप से स्कैन को सक्षम कर सकता है ताकि संदिग्ध कॉन्फ़िगरेशन का पता न चले।
यह क्रिया प्रतिनिधि प्रशासक द्वारा की जानी चाहिए।
संभावित प्रभाव: सुरक्षा निगरानी में अंधे स्थानों का निर्माण।
inspector2:UpdateOrganizationConfiguration
इस अनुमति के साथ एक हमलावर आपके Amazon Inspector संगठन के लिए कॉन्फ़िगरेशन को अपडेट करने में सक्षम होगा, जो नए सदस्य खातों के लिए सक्षम डिफ़ॉल्ट स्कैनिंग सुविधाओं को प्रभावित करेगा।
यह क्रिया प्रतिनिधि प्रशासक द्वारा की जानी चाहिए।
संभावित प्रभाव: संगठन के लिए सुरक्षा स्कैन नीतियों और कॉन्फ़िगरेशन को बदलें।
inspector2:TagResource
, inspector2:UntagResource
एक हमलावर AWS Inspector संसाधनों पर टैग को हेरफेर कर सकता है, जो सुरक्षा आकलनों को व्यवस्थित, ट्रैक और स्वचालित करने के लिए महत्वपूर्ण हैं। टैग को बदलकर या हटाकर, एक हमलावर संभावित रूप से सुरक्षा स्कैन से कमजोरियों को छिपा सकता है, अनुपालन रिपोर्टिंग में बाधा डाल सकता है, और स्वचालित सुधार प्रक्रियाओं में हस्तक्षेप कर सकता है, जिससे अनियंत्रित सुरक्षा मुद्दे और प्रणाली की अखंडता से समझौता हो सकता है।
संभावित प्रभाव: कमजोरियों को छिपाना, अनुपालन रिपोर्टिंग में बाधा, सुरक्षा स्वचालन में बाधा और लागत आवंटन में बाधा।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)