AWS - Inspector Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector to zaawansowana, zautomatyzowana usługa zarządzania lukami, zaprojektowana w celu zwiększenia bezpieczeństwa Twojego środowiska AWS. Usługa ta nieustannie skanuje instancje Amazon EC2, obrazy kontenerów w Amazon ECR, Amazon ECS oraz funkcje AWS Lambda w poszukiwaniu luk i niezamierzonego narażenia sieciowego. Wykorzystując solidną bazę danych informacji o lukach, Amazon Inspector dostarcza szczegółowe wyniki, w tym poziomy zagrożenia i zalecenia dotyczące usunięcia, pomagając organizacjom proaktywnie identyfikować i rozwiązywać ryzyka bezpieczeństwa. To kompleksowe podejście zapewnia wzmocnioną postawę bezpieczeństwa w różnych usługach AWS, wspierając zgodność i zarządzanie ryzykiem.
Wyniki w Amazon Inspector to szczegółowe raporty dotyczące luk i narażeń odkrytych podczas skanowania instancji EC2, repozytoriów ECR lub funkcji Lambda. W zależności od stanu, wyniki są klasyfikowane jako:
Aktywne: Wynik nie został usunięty.
Zamknięte: Wynik został usunięty.
Tłumione: Wynik został oznaczony tym stanem z powodu jednej lub więcej reguł tłumienia.
Wyniki są również klasyfikowane w trzy następujące typy:
Pakiet: Te wyniki dotyczą luk w pakietach oprogramowania zainstalowanych na Twoich zasobach. Przykłady obejmują przestarzałe biblioteki lub zależności z znanymi problemami bezpieczeństwa.
Kod: Ta kategoria obejmuje luki znalezione w kodzie aplikacji działających na Twoich zasobach AWS. Typowe problemy to błędy w kodzie lub niebezpieczne praktyki, które mogą prowadzić do naruszeń bezpieczeństwa.
Sieć: Wyniki sieciowe identyfikują potencjalne narażenia w konfiguracjach sieciowych, które mogą być wykorzystywane przez atakujących. Obejmują one otwarte porty, niebezpieczne protokoły sieciowe i źle skonfigurowane grupy zabezpieczeń.
Filtry i reguły tłumienia w Amazon Inspector pomagają zarządzać i priorytetyzować wyniki. Filtry pozwalają na zawężenie wyników na podstawie określonych kryteriów, takich jak poziom zagrożenia lub typ zasobu. Reguły tłumienia pozwalają na tłumienie niektórych wyników, które są uważane za niskie ryzyko, zostały już złagodzone lub z jakiegokolwiek innego ważnego powodu, zapobiegając ich przeciążeniu w raportach bezpieczeństwa i pozwalając skupić się na bardziej krytycznych problemach.
Software Bill of Materials (SBOM) w Amazon Inspector to eksportowalna zagnieżdżona lista inwentarzowa szczegółowo opisująca wszystkie komponenty w pakiecie oprogramowania, w tym biblioteki i zależności. SBOM-y pomagają zapewnić przejrzystość w łańcuchu dostaw oprogramowania, umożliwiając lepsze zarządzanie lukami i zgodnością. Są kluczowe dla identyfikacji i łagodzenia ryzyk związanych z komponentami oprogramowania open source i stron trzecich.
Amazon Inspector oferuje możliwość eksportu wyników do Amazon S3 Buckets, Amazon EventBridge i AWS Security Hub, co umożliwia generowanie szczegółowych raportów zidentyfikowanych luk i narażeń do dalszej analizy lub udostępnienia w określonym terminie. Ta funkcja obsługuje różne formaty wyjściowe, takie jak CSV i JSON, co ułatwia integrację z innymi narzędziami i systemami. Funkcjonalność eksportu pozwala na dostosowanie danych zawartych w raportach, umożliwiając filtrowanie wyników na podstawie określonych kryteriów, takich jak poziom zagrożenia, typ zasobu lub zakres dat, a domyślnie obejmuje wszystkie Twoje wyniki w bieżącym regionie AWS z aktywnym statusem.
Podczas eksportowania wyników niezbędny jest klucz KMS (Key Management Service) do szyfrowania danych podczas eksportu. Klucze KMS zapewniają, że eksportowane wyniki są chronione przed nieautoryzowanym dostępem, zapewniając dodatkową warstwę bezpieczeństwa dla wrażliwych informacji o lukach.
Amazon Inspector oferuje solidne możliwości skanowania instancji Amazon EC2 w celu wykrywania luk i problemów z bezpieczeństwem. Inspector porównuje wyodrębnione metadane z instancji EC2 z zasadami z poradników bezpieczeństwa, aby wykryć luki w pakietach i problemy z dostępnością sieci. Skanowania te mogą być przeprowadzane za pomocą metod opartych na agencie lub bez agenta, w zależności od konfiguracji ustawień trybu skanowania Twojego konta.
Oparte na agencie: Wykorzystuje agenta AWS Systems Manager (SSM) do przeprowadzania szczegółowych skanów. Ta metoda pozwala na kompleksowe zbieranie i analizowanie danych bezpośrednio z instancji.
Bez agenta: Oferuje lekką alternatywę, która nie wymaga instalacji agenta na instancji, tworząc migawkę EBS każdego woluminu instancji EC2, szukając luk, a następnie ją usuwając; wykorzystując istniejącą infrastrukturę AWS do skanowania.
Tryb skanowania określa, która metoda będzie używana do przeprowadzania skanów EC2:
Oparte na agencie: Wymaga zainstalowania agenta SSM na instancjach EC2 do głębokiej inspekcji.
Skanowanie hybrydowe: Łączy metody oparte na agencie i bez agenta, aby maksymalizować zasięg i minimalizować wpływ na wydajność. W tych instancjach EC2, gdzie zainstalowany jest agent SSM, Inspector przeprowadzi skanowanie oparte na agencie, a dla tych, gdzie nie ma agenta SSM, skanowanie będzie przeprowadzane bez agenta.
Inną ważną cechą jest głęboka inspekcja dla instancji EC2 Linux. Ta funkcja oferuje dokładną analizę oprogramowania i konfiguracji instancji EC2 Linux, dostarczając szczegółowe oceny luk, w tym luk w systemie operacyjnym, luk w aplikacjach i błędów konfiguracyjnych, zapewniając kompleksową ocenę bezpieczeństwa. Osiąga się to poprzez inspekcję niestandardowych ścieżek i wszystkich ich podkatalogów. Domyślnie Amazon Inspector skanuje następujące, ale każde konto członkowskie może zdefiniować do 5 dodatkowych niestandardowych ścieżek, a każdy delegowany administrator do 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector zapewnia solidne możliwości skanowania obrazów kontenerów Amazon Elastic Container Registry (ECR), zapewniając, że luki w pakietach są wykrywane i zarządzane efektywnie.
Podstawowe skanowanie: To szybkie i lekkie skanowanie, które identyfikuje znane luki w pakietach systemu operacyjnego w obrazach kontenerów, korzystając z standardowego zestawu zasad z projektu open-source Clair. Przy tej konfiguracji skanowania Twoje repozytoria będą skanowane podczas przesyłania lub podczas ręcznych skanów.
Rozszerzone skanowanie: Ta opcja dodaje funkcję ciągłego skanowania oprócz skanowania podczas przesyłania. Rozszerzone skanowanie zagłębia się głębiej w warstwy każdego obrazu kontenera, aby zidentyfikować luki w pakietach systemu operacyjnego i w pakietach języków programowania z wyższą dokładnością. Analizuje zarówno obraz bazowy, jak i wszelkie dodatkowe warstwy, dostarczając kompleksowy widok potencjalnych problemów z bezpieczeństwem.
Amazon Inspector zawiera kompleksowe możliwości skanowania funkcji AWS Lambda i jej warstw, zapewniając bezpieczeństwo i integralność aplikacji bezserwerowych. Inspector oferuje dwa rodzaje skanowania dla funkcji Lambda:
Standardowe skanowanie Lambda: Ta domyślna funkcja identyfikuje luki w oprogramowaniu w zależnościach pakietu aplikacji dodanych do Twojej funkcji Lambda i warstw. Na przykład, jeśli Twoja funkcja używa wersji biblioteki takiej jak python-jwt z znaną luką, generuje wynik.
Skanowanie kodu Lambda: Analizuje niestandardowy kod aplikacji w poszukiwaniu problemów z bezpieczeństwem, wykrywając luki takie jak błędy wstrzykiwania, wycieki danych, słaba kryptografia i brak szyfrowania. Zawiera fragmenty kodu podkreślające wykryte luki, takie jak zakodowane na stałe dane uwierzytelniające. Wyniki zawierają szczegółowe sugestie dotyczące usunięcia i fragmenty kodu do naprawy problemów.
Amazon Inspector zawiera skanowania CIS, aby porównać systemy operacyjne instancji Amazon EC2 z najlepszymi praktykami zalecanymi przez Center for Internet Security (CIS). Te skanowania zapewniają, że konfiguracje są zgodne z branżowymi standardami bezpieczeństwa.
Konfiguracja: Skanowania CIS oceniają, czy konfiguracje systemu spełniają określone zalecenia CIS Benchmark, z każdym sprawdzeniem powiązanym z identyfikatorem i tytułem sprawdzenia CIS.
Wykonanie: Skanowania są przeprowadzane lub planowane na podstawie tagów instancji i zdefiniowanych harmonogramów.
Wyniki: Wyniki po skanowaniu wskazują, które kontrole przeszły, zostały pominięte lub nie powiodły się, dostarczając informacji o stanie bezpieczeństwa każdej instancji.
Z perspektywy atakującego, ta usługa może pomóc atakującemu w znalezieniu luk i ekspozycji sieci, które mogą pomóc mu w kompromitacji innych instancji/kontenerów.
Jednak atakujący może być również zainteresowany zakłóceniem tej usługi, aby ofiara nie mogła zobaczyć luk (wszystkich lub konkretnych).
inspector2:CreateFindingsReport
, inspector2:CreateSBOMReport
Atakujący mógłby wygenerować szczegółowe raporty dotyczące luk lub list materiałów oprogramowania (SBOM) i wyeksportować je z twojego środowiska AWS. Informacje te mogą być wykorzystane do zidentyfikowania konkretnych słabości, przestarzałego oprogramowania lub niebezpiecznych zależności, co umożliwia ukierunkowane ataki.
Przykład poniżej pokazuje, jak wyeksportować wszystkie aktywne wyniki z Amazon Inspector do kontrolowanego przez atakującego Amazon S3 Bucket z kontrolowanym przez atakującego kluczem Amazon KMS:
Utwórz Amazon S3 Bucket i dołącz do niego politykę, aby był dostępny z ofiary Amazon Inspector:
Utwórz klucz Amazon KMS i dołącz do niego politykę, aby mógł być używany przez Amazon Inspector ofiary:
Wykonaj polecenie, aby utworzyć raport ustaleń eksfiltrując go:
Potencjalny wpływ: Generowanie i eksfiltracja szczegółowych raportów o podatnościach i oprogramowaniu, uzyskiwanie informacji na temat konkretnych podatności i słabości w zabezpieczeniach.
inspector2:CancelFindingsReport
, inspector2:CancelSbomExport
Napastnik mógłby anulować generowanie określonego raportu o podatnościach lub raportu SBOM, uniemożliwiając zespołom bezpieczeństwa otrzymywanie na czas informacji o podatnościach i oprogramowaniu (SBOM), opóźniając wykrywanie i usuwanie problemów z zabezpieczeniami.
Potencjalny wpływ: Zakłócenie monitorowania bezpieczeństwa i uniemożliwienie terminowego wykrywania oraz usuwania problemów z bezpieczeństwem.
inspector2:CreateFilter
, inspector2:UpdateFilter
, inspector2:DeleteFilter
Napastnik z tymi uprawnieniami mógłby manipulować regułami filtrowania, które określają, które luki i problemy z bezpieczeństwem są zgłaszane lub tłumione (jeśli akcja jest ustawiona na SUPPRESS, zostanie utworzona reguła tłumienia). Może to ukryć krytyczne luki przed administratorami bezpieczeństwa, ułatwiając wykorzystanie tych słabości bez wykrycia. Poprzez modyfikację lub usunięcie ważnych filtrów, napastnik mógłby również generować szum, zalewając system nieistotnymi wynikami, co utrudniałoby skuteczne monitorowanie i reakcję na zagrożenia.
Potencjalny wpływ: Ukrycie lub stłumienie krytycznych luk w zabezpieczeniach, lub zalanie systemu nieistotnymi wynikami.
inspector2:DisableDelegatedAdminAccount
, (inspector2:EnableDelegatedAdminAccount
& organizations:ListDelegatedAdministrators
& organizations:EnableAWSServiceAccess
& iam:CreateServiceLinkedRole
)Atakujący mógłby znacząco zakłócić strukturę zarządzania bezpieczeństwem.
Dezaktywując konto delegowanego administratora, atakujący mógłby uniemożliwić zespołowi ds. bezpieczeństwa dostęp do ustawień i raportów Amazon Inspector.
Włączenie nieautoryzowanego konta administratora pozwoliłoby atakującemu kontrolować konfiguracje bezpieczeństwa, potencjalnie dezaktywując skany lub modyfikując ustawienia, aby ukryć złośliwe działania.
Wymagane jest, aby nieautoryzowane konto znajdowało się w tej samej Organizacji co ofiara, aby mogło stać się delegowanym administratorem.
Aby nieautoryzowane konto mogło stać się delegowanym administratorem, wymagane jest również, aby po dezaktywowaniu legitymnego delegowanego administratora, a przed włączeniem nieautoryzowanego konta jako delegowanego administratora, legitymny administrator musiał zostać wyrejestrowany jako delegowany administrator z organizacji. Można to zrobić za pomocą następującego polecenia (organizations:DeregisterDelegatedAdministrator
wymagana zgoda): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Potencjalny wpływ: Zakłócenie zarządzania bezpieczeństwem.
inspector2:AssociateMember
, inspector2:DisassociateMember
Napastnik mógłby manipulować stowarzyszeniem kont członkowskich w organizacji Amazon Inspector. Poprzez stowarzyszenie nieautoryzowanych kont lub rozłączenie legalnych, napastnik mógłby kontrolować, które konta są uwzględniane w skanowaniu bezpieczeństwa i raportowaniu. Może to prowadzić do wykluczenia krytycznych kont z monitorowania bezpieczeństwa, umożliwiając napastnikowi wykorzystanie luk w tych kontach bez wykrycia.
Ta akcja wymaga wykonania przez delegowanego administratora.
Potencjalny wpływ: Wykluczenie kluczowych kont z skanów bezpieczeństwa, co umożliwia niewykryte wykorzystanie luk.
inspector2:Disable
, (inspector2:Enable
& iam:CreateServiceLinkedRole
)Napastnik z uprawnieniem inspector2:Disable
mógłby wyłączyć skany bezpieczeństwa dla określonych typów zasobów (EC2, ECR, Lambda, kod Lambda) w wyznaczonych kontach, pozostawiając części środowiska AWS bez nadzoru i podatne na ataki. Dodatkowo, posiadając uprawnienia inspector2:Enable
& iam:CreateServiceLinkedRole
, napastnik mógłby następnie selektywnie ponownie włączyć skany, aby uniknąć wykrycia podejrzanych konfiguracji.
Ta akcja musi być wykonana przez delegowanego administratora.
Potencjalny wpływ: Tworzenie martwych punktów w monitorowaniu bezpieczeństwa.
inspector2:UpdateOrganizationConfiguration
Atakujący z tym uprawnieniem mógłby zaktualizować konfiguracje dla twojej organizacji Amazon Inspector, wpływając na domyślne funkcje skanowania włączone dla nowych kont członkowskich.
Ta akcja musi być wykonana przez delegowanego administratora.
Potencjalny wpływ: Zmiana polityk skanowania bezpieczeństwa i konfiguracji dla organizacji.
inspector2:TagResource
, inspector2:UntagResource
Napastnik mógłby manipulować tagami na zasobach AWS Inspector, które są kluczowe dla organizowania, śledzenia i automatyzacji ocen bezpieczeństwa. Poprzez zmianę lub usunięcie tagów, napastnik mógłby potencjalnie ukryć luki w zabezpieczeniach przed skanami bezpieczeństwa, zakłócić raportowanie zgodności i ingerować w procesy automatycznej naprawy, co prowadziłoby do niekontrolowanych problemów z bezpieczeństwem i naruszenia integralności systemu.
Potencjalny wpływ: Ukrywanie luk, zakłócenie raportowania zgodności, zakłócenie automatyzacji bezpieczeństwa oraz zakłócenie alokacji kosztów.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)