AWS - Apigateway Privesc
Apigateway
Aby uzyskać więcej informacji, sprawdź:
apigateway:POST
apigateway:POST
Dzięki temu uprawnieniu możesz generować klucze API dla skonfigurowanych API (na region).
Potencjalny wpływ: Nie możesz uzyskać podwyższonych uprawnień za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:GET
apigateway:GET
Dzięki temu uprawnieniu możesz uzyskać wygenerowane klucze API skonfigurowanych API (na region).
Potencjalny wpływ: Nie możesz uzyskać podwyższonych uprawnień za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Dzięki tym uprawnieniom możliwe jest modyfikowanie polityki zasobów API, aby uzyskać dostęp do jego wywoływania i nadużywać potencjalny dostęp, jaki API gateway może mieć (na przykład wywołując podatną lambdę).
Potencjalny wpływ: Zazwyczaj nie będziesz w stanie bezpośrednio uzyskać podwyższonych uprawnień za pomocą tej techniki, ale możesz uzyskać dostęp do wrażliwych informacji.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Wymaga testowania
Atakujący z uprawnieniami apigateway:PutIntegration
, apigateway:CreateDeployment
i iam:PassRole
może dodać nową integrację do istniejącego API Gateway REST API z funkcją Lambda, która ma przypisaną rolę IAM. Atakujący może następnie wywołać funkcję Lambda, aby wykonać dowolny kod i potencjalnie uzyskać dostęp do zasobów związanych z rolą IAM.
Potencjalny wpływ: Dostęp do zasobów związanych z rolą IAM funkcji Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Wymaga testowania
Napastnik z uprawnieniami apigateway:UpdateAuthorizer
i apigateway:CreateDeployment
może zmodyfikować istniejącego autoryzatora API Gateway, aby obejść kontrole bezpieczeństwa lub wykonać dowolny kod podczas składania żądań API.
Potencjalny wpływ: Ominięcie kontroli bezpieczeństwa, nieautoryzowany dostęp do zasobów API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Wymaga testowania
Napastnik z uprawnieniem apigateway:UpdateVpcLink
może zmodyfikować istniejące połączenie VPC, aby wskazywało na inny Load Balancer, potencjalnie przekierowując prywatny ruch API do nieautoryzowanych lub złośliwych zasobów.
Potencjalny wpływ: Nieautoryzowany dostęp do prywatnych zasobów API, przechwytywanie lub zakłócanie ruchu API.
Last updated