Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector è un servizio avanzato e automatizzato di gestione delle vulnerabilità progettato per migliorare la sicurezza del tuo ambiente AWS. Questo servizio esegue continuamente scansioni delle istanze Amazon EC2, delle immagini dei container in Amazon ECR, di Amazon ECS e delle funzioni AWS Lambda per vulnerabilità e esposizioni involontarie della rete. Sfruttando un robusto database di intelligence sulle vulnerabilità, Amazon Inspector fornisce risultati dettagliati, inclusi livelli di gravità e raccomandazioni per la remediation, aiutando le organizzazioni a identificare e affrontare proattivamente i rischi per la sicurezza. Questo approccio completo garantisce una postura di sicurezza rinforzata attraverso vari servizi AWS, supportando la conformità e la gestione del rischio.
I risultati in Amazon Inspector sono rapporti dettagliati sulle vulnerabilità e le esposizioni scoperte durante la scansione delle istanze EC2, dei repository ECR o delle funzioni Lambda. In base al loro stato, i risultati sono categorizzati come:
Attivo: Il risultato non è stato risolto.
Chiuso: Il risultato è stato risolto.
Soppresso: Il risultato è stato contrassegnato con questo stato a causa di una o più regole di soppressione.
I risultati sono anche categorizzati nei seguenti tre tipi:
Pacchetto: Questi risultati riguardano vulnerabilità nei pacchetti software installati sulle tue risorse. Esempi includono librerie obsolete o dipendenze con problemi di sicurezza noti.
Codice: Questa categoria include vulnerabilità trovate nel codice delle applicazioni in esecuzione sulle tue risorse AWS. Problemi comuni sono errori di codifica o pratiche insicure che potrebbero portare a violazioni della sicurezza.
Rete: I risultati di rete identificano potenziali esposizioni nelle configurazioni di rete che potrebbero essere sfruttate dagli attaccanti. Questi includono porte aperte, protocolli di rete insicuri e gruppi di sicurezza mal configurati.
I filtri e le regole di soppressione in Amazon Inspector aiutano a gestire e prioritizzare i risultati. I filtri consentono di affinare i risultati in base a criteri specifici, come gravità o tipo di risorsa. Le regole di soppressione consentono di sopprimere determinati risultati considerati a basso rischio, già mitigati o per qualsiasi altro motivo importante, prevenendo il sovraccarico dei rapporti di sicurezza e consentendoti di concentrarti su questioni più critiche.
Un Software Bill of Materials (SBOM) in Amazon Inspector è un elenco di inventario annidato esportabile che dettaglia tutti i componenti all'interno di un pacchetto software, comprese librerie e dipendenze. Gli SBOM aiutano a fornire trasparenza nella catena di fornitura del software, consentendo una migliore gestione delle vulnerabilità e conformità. Sono cruciali per identificare e mitigare i rischi associati ai componenti software open source e di terze parti.
Amazon Inspector offre la possibilità di esportare i risultati in Amazon S3 Buckets, Amazon EventBridge e AWS Security Hub, il che consente di generare rapporti dettagliati delle vulnerabilità e delle esposizioni identificate per ulteriori analisi o condivisione in una data e ora specifiche. Questa funzionalità supporta vari formati di output come CSV e JSON, facilitando l'integrazione con altri strumenti e sistemi. La funzionalità di esportazione consente la personalizzazione dei dati inclusi nei rapporti, consentendo di filtrare i risultati in base a criteri specifici come gravità, tipo di risorsa o intervallo di date e includendo per impostazione predefinita tutti i tuoi risultati nella regione AWS corrente con uno stato Attivo.
Quando si esportano i risultati, è necessario una chiave del Key Management Service (KMS) per crittografare i dati durante l'esportazione. Le chiavi KMS garantiscono che i risultati esportati siano protetti da accessi non autorizzati, fornendo un ulteriore livello di sicurezza per le informazioni sensibili sulle vulnerabilità.
Amazon Inspector offre robuste capacità di scansione per le istanze Amazon EC2 per rilevare vulnerabilità e problemi di sicurezza. Inspector confronta i metadati estratti dall'istanza EC2 con le regole delle avvertenze di sicurezza per produrre vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Queste scansioni possono essere eseguite tramite metodi basati su agenti o senza agenti, a seconda della configurazione delle impostazioni della modalità di scansione del tuo account.
Basato su Agenti: Utilizza l'agente AWS Systems Manager (SSM) per eseguire scansioni approfondite. Questo metodo consente una raccolta e analisi dei dati completa direttamente dall'istanza.
Senza Agenti: Fornisce un'alternativa leggera che non richiede l'installazione di un agente sull'istanza, creando uno snapshot EBS di ogni volume dell'istanza EC2, cercando vulnerabilità e poi eliminandolo; sfruttando l'infrastruttura AWS esistente per la scansione.
La modalità di scansione determina quale metodo sarà utilizzato per eseguire le scansioni EC2:
Basato su Agenti: Comporta l'installazione dell'agente SSM sulle istanze EC2 per un'ispezione approfondita.
Scansione Ibrida: Combina metodi sia basati su agenti che senza agenti per massimizzare la copertura e minimizzare l'impatto sulle prestazioni. In quelle istanze EC2 in cui è installato l'agente SSM, Inspector eseguirà una scansione basata su agenti, e per quelle in cui non c'è l'agente SSM, la scansione eseguita sarà senza agenti.
Un'altra caratteristica importante è l'ispezione approfondita per le istanze Linux EC2. Questa funzionalità offre un'analisi approfondita del software e della configurazione delle istanze Linux EC2, fornendo valutazioni dettagliate delle vulnerabilità, comprese le vulnerabilità del sistema operativo, le vulnerabilità delle applicazioni e le configurazioni errate, garantendo una valutazione completa della sicurezza. Questo viene realizzato attraverso l'ispezione di percorsi personalizzati e tutte le sue sottodirectory. Per impostazione predefinita, Amazon Inspector eseguirà la scansione dei seguenti, ma ogni account membro può definire fino a 5 percorsi personalizzati aggiuntivi, e ogni amministratore delegato fino a 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector fornisce robuste capacità di scansione per le immagini dei container di Amazon Elastic Container Registry (ECR), garantendo che le vulnerabilità dei pacchetti siano rilevate e gestite in modo efficiente.
Scansione di Base: Questa è una scansione rapida e leggera che identifica vulnerabilità note nei pacchetti OS nelle immagini dei container utilizzando un insieme standard di regole dal progetto open-source Clair. Con questa configurazione di scansione, i tuoi repository saranno scansionati al momento del push o eseguendo scansioni manuali.
Scansione Avanzata: Questa opzione aggiunge la funzionalità di scansione continua oltre alla scansione al momento del push. La scansione avanzata approfondisce i livelli di ogni immagine del container per identificare vulnerabilità nei pacchetti OS e nei pacchetti dei linguaggi di programmazione con maggiore precisione. Analizza sia l'immagine di base che eventuali livelli aggiuntivi, fornendo una visione completa dei potenziali problemi di sicurezza.
Amazon Inspector include capacità di scansione complete per le funzioni AWS Lambda e i suoi livelli, garantendo la sicurezza e l'integrità delle applicazioni serverless. Inspector offre due tipi di scansione per le funzioni Lambda:
Scansione standard Lambda: Questa funzionalità predefinita identifica vulnerabilità software nelle dipendenze del pacchetto dell'applicazione aggiunte alla tua funzione Lambda e ai livelli. Ad esempio, se la tua funzione utilizza una versione di una libreria come python-jwt con una vulnerabilità nota, genera un risultato.
Scansione del codice Lambda: Analizza il codice dell'applicazione personalizzata per problemi di sicurezza, rilevando vulnerabilità come difetti di iniezione, perdite di dati, crittografia debole e mancanza di crittografia. Cattura frammenti di codice evidenziando le vulnerabilità rilevate, come credenziali hardcoded. I risultati includono suggerimenti dettagliati per la remediation e frammenti di codice per risolvere i problemi.
Amazon Inspector include scansioni CIS per confrontare i sistemi operativi delle istanze Amazon EC2 con le raccomandazioni delle migliori pratiche del Center for Internet Security (CIS). Queste scansioni garantiscono che le configurazioni aderiscano ai baseline di sicurezza standard del settore.
Configurazione: Le scansioni CIS valutano se le configurazioni di sistema soddisfano specifiche raccomandazioni del CIS Benchmark, con ogni controllo collegato a un ID di controllo e titolo CIS.
Esecuzione: Le scansioni vengono eseguite o programmate in base ai tag delle istanze e agli orari definiti.
Risultati: I risultati post-scansione indicano quali controlli sono stati superati, saltati o falliti, fornendo informazioni sulla postura di sicurezza di ciascuna istanza.
Dal punto di vista di un attaccante, questo servizio può aiutare l'attaccante a trovare vulnerabilità ed esposizioni di rete che potrebbero aiutarlo a compromettere altre istanze/contenitori.
Tuttavia, un attaccante potrebbe anche essere interessato a interrompere questo servizio in modo che la vittima non possa vedere le vulnerabilità (tutte o specifiche).
inspector2:CreateFindingsReport, inspector2:CreateSBOMReportUn attaccante potrebbe generare report dettagliati di vulnerabilità o fatture dei materiali software (SBOM) ed esfiltrarli dal tuo ambiente AWS. Queste informazioni potrebbero essere sfruttate per identificare debolezze specifiche, software obsoleto o dipendenze insicure, abilitando attacchi mirati.
L'esempio seguente mostra come esfiltrare tutte le scoperte attive da Amazon Inspector a un bucket Amazon S3 controllato dall'attaccante con una chiave Amazon KMS controllata dall'attaccante:
Crea un bucket Amazon S3 e allega una policy ad esso in modo che sia accessibile da Amazon Inspector della vittima:
Crea una chiave Amazon KMS e allega una policy ad essa in modo che possa essere utilizzata dall'Amazon Inspector della vittima:
Esegui il comando per creare il rapporto sui risultati esfiltrandolo:
Impatto Potenziale: Generazione ed esfiltrazione di report dettagliati su vulnerabilità e software, ottenendo informazioni su vulnerabilità specifiche e debolezze di sicurezza.
inspector2:CancelFindingsReport, inspector2:CancelSbomExportUn attaccante potrebbe annullare la generazione del report di findings specificato o del report SBOM, impedendo ai team di sicurezza di ricevere informazioni tempestive su vulnerabilità e bolletta dei materiali software (SBOM), ritardando la rilevazione e la risoluzione di problemi di sicurezza.
Impatto Potenziale: Interruzione del monitoraggio della sicurezza e prevenzione della rilevazione e rimedio tempestivi dei problemi di sicurezza.
inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilterUn attaccante con questi permessi sarebbe in grado di manipolare le regole di filtraggio che determinano quali vulnerabilità e problemi di sicurezza vengono segnalati o soppressi (se l'azione è impostata su SUPPRESS, verrebbe creata una regola di soppressione). Questo potrebbe nascondere vulnerabilità critiche agli amministratori della sicurezza, rendendo più facile sfruttare queste debolezze senza rilevamento. Alterando o rimuovendo filtri importanti, un attaccante potrebbe anche creare rumore inondando il sistema con risultati irrilevanti, ostacolando un monitoraggio e una risposta alla sicurezza efficaci.
Impatto Potenziale: Nascondere o sopprimere vulnerabilità critiche, o inondare il sistema con risultati irrilevanti.
inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)Un attaccante potrebbe interrompere significativamente la struttura di gestione della sicurezza.
Disabilitando l'account admin delegato, l'attaccante potrebbe impedire al team di sicurezza di accedere e gestire le impostazioni e i report di Amazon Inspector.
Abilitando un account admin non autorizzato, un attaccante potrebbe controllare le configurazioni di sicurezza, potenzialmente disabilitando le scansioni o modificando le impostazioni per nascondere attività dannose.
È necessario che l'account non autorizzato sia nella stessa Organizzazione della vittima per diventare l'amministratore delegato.
Affinché l'account non autorizzato diventi l'amministratore delegato, è anche necessario che dopo che l'amministratore delegato legittimo è stato disabilitato, e prima che l'account non autorizzato venga abilitato come amministratore delegato, l'amministratore legittimo deve essere deregistrato come amministratore delegato dall'organizzazione. Questo può essere fatto con il seguente comando (organizations:DeregisterDelegatedAdministrator permesso richiesto): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Impatto Potenziale: Interruzione della gestione della sicurezza.
inspector2:AssociateMember, inspector2:DisassociateMemberUn attaccante potrebbe manipolare l'associazione degli account membri all'interno di un'organizzazione Amazon Inspector. Associando account non autorizzati o disassociando quelli legittimi, un attaccante potrebbe controllare quali account sono inclusi nelle scansioni di sicurezza e nei report. Questo potrebbe portare all'esclusione di account critici dal monitoraggio della sicurezza, consentendo all'attaccante di sfruttare vulnerabilità in quegli account senza essere rilevato.
Questa azione deve essere eseguita dall'amministratore delegato.
Impatto Potenziale: Esclusione di account chiave dalle scansioni di sicurezza, consentendo lo sfruttamento non rilevato delle vulnerabilità.
inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)Un attaccante con il permesso inspector2:Disable sarebbe in grado di disabilitare le scansioni di sicurezza su specifici tipi di risorse (EC2, ECR, Lambda, codice Lambda) sui conti specificati, lasciando parti dell'ambiente AWS non monitorate e vulnerabili ad attacchi. Inoltre, grazie ai permessi inspector2:Enable & iam:CreateServiceLinkedRole, un attaccante potrebbe quindi riattivare le scansioni selettivamente per evitare il rilevamento di configurazioni sospette.
Questa azione deve essere eseguita dall'amministratore delegato.
Impatto Potenziale: Creazione di punti ciechi nel monitoraggio della sicurezza.
inspector2:UpdateOrganizationConfigurationUn attaccante con questo permesso sarebbe in grado di aggiornare le configurazioni per la tua organizzazione Amazon Inspector, influenzando le funzionalità di scansione predefinite abilitate per i nuovi account membri.
Questa azione deve essere eseguita dall'amministratore delegato.
Impatto Potenziale: Alterare le politiche e le configurazioni della scansione di sicurezza per l'organizzazione.
inspector2:TagResource, inspector2:UntagResourceUn attaccante potrebbe manipolare i tag sulle risorse di AWS Inspector, che sono critici per organizzare, tracciare e automatizzare le valutazioni di sicurezza. Alterando o rimuovendo i tag, un attaccante potrebbe potenzialmente nascondere vulnerabilità dalle scansioni di sicurezza, interrompere la reportistica di conformità e interferire con i processi di remediation automatizzati, portando a problemi di sicurezza non controllati e compromettendo l'integrità del sistema.
Impatto Potenziale: Nascondere vulnerabilità, interruzione della reportistica di conformità, interruzione dell'automazione della sicurezza e interruzione dell'allocazione dei costi.
Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
