AWS - CodeBuild Post Exploitation

CodeBuild

Za više informacija, proverite:

Zloupotreba pristupa repozitorijumu u CodeBuild-u

Da bi se konfigurisao CodeBuild, potreban je pristup repozitorijumu koda koji će se koristiti. Više platformi može hostovati ovaj kod:

CodeBuild projekat mora imati pristup konfigurisanom izvoru, bilo putem IAM role ili sa github/bitbucket tokenom ili OAuth pristupom.

Napadač sa povišenim dozvolama nad CodeBuild-om može zloupotrebiti ovaj konfigurisani pristup da bi procureo kod konfigurisanog repozitorijuma i drugih gde postavljene akreditacije imaju pristup. Da bi to uradio, napadač bi samo trebao da promeni URL repozitorijuma za svaki repozitorijum na koji konfiguracione akreditacije imaju pristup (napomena da će aws veb prikazati sve za vas):

I promeni Buildspec komande da bi eksfiltrirao svaki repozitorijum.

Procureni pristupni tokeni iz AWS CodeBuild-a

Možete procuriti pristup dat u CodeBuild-u platformama poput Github-a. Proverite da li je dat pristup eksternim platformama sa:

aws codebuild list-source-credentials

codebuild:DeleteProject

Napadač bi mogao da obriše ceo CodeBuild projekat, uzrokujući gubitak konfiguracije projekta i utičući na aplikacije koje se oslanjaju na taj projekat.

aws codebuild delete-project --name <value>

Potencijalni uticaj: Gubitak konfiguracije projekta i prekid usluge za aplikacije koje koriste izbrisani projekat.

codebuild:TagResource, codebuild:UntagResource

Napadač bi mogao dodati, izmeniti ili ukloniti oznake sa resursa CodeBuild, remeteći politike alokacije troškova, praćenje resursa i politike kontrole pristupa vaše organizacije na osnovu oznaka.

aws codebuild tag-resource --resource-arn <value> --tags <value>
aws codebuild untag-resource --resource-arn <value> --tag-keys <value>

Potencijalni uticaj: Poremećaj alokacije troškova, praćenja resursa i politika kontrole pristupa zasnovanih na oznakama.

codebuild:DeleteSourceCredentials

Napadač bi mogao da obriše izvore akreditacija za Git repozitorijum, što bi uticalo na normalno funkcionisanje aplikacija koje se oslanjaju na repozitorijum.

aws codebuild delete-source-credentials --arn <value>

Potencijalni uticaj: Poremećaj normalnog funkcionisanja aplikacija koje se oslanjaju na pogođeni repozitorijum zbog uklanjanja izvornih akreditiva.