AWS - Inspector Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector je napredna, automatizovana usluga za upravljanje ranjivostima koja je dizajnirana da poboljša bezbednost vašeg AWS okruženja. Ova usluga kontinuirano skenira Amazon EC2 instance, slike kontejnera u Amazon ECR, Amazon ECS i AWS Lambda funkcije za ranjivosti i neželjeno mrežno izlaganje. Korišćenjem robusne baze podataka o ranjivostima, Amazon Inspector pruža detaljna otkrića, uključujući nivoe ozbiljnosti i preporuke za otklanjanje, pomažući organizacijama da proaktivno identifikuju i reše bezbednosne rizike. Ovaj sveobuhvatan pristup osigurava ojačanu bezbednosnu poziciju širom različitih AWS usluga, pomažući u usklađenosti i upravljanju rizicima.
Otkrića u Amazon Inspector-u su detaljni izveštaji o ranjivostima i izloženostima otkrivenim tokom skeniranja EC2 instanci, ECR repozitorijuma ili Lambda funkcija. Na osnovu svog stanja, otkrića se kategorizuju kao:
Aktivno: Otkriće nije otklonjeno.
Zatvoreno: Otkriće je otklonjeno.
Potisnuto: Otkriće je označeno ovim stanjem zbog jednog ili više pravila potiskivanja.
Otkrića se takođe kategorizuju u sledeće tri vrste:
Paket: Ova otkrića se odnose na ranjivosti u softverskim paketima instaliranim na vašim resursima. Primeri uključuju zastarele biblioteke ili zavisnosti sa poznatim bezbednosnim problemima.
Kod: Ova kategorija uključuje ranjivosti pronađene u kodu aplikacija koje rade na vašim AWS resursima. Uobičajeni problemi su greške u kodiranju ili nesigurne prakse koje mogu dovesti do bezbednosnih proboja.
Mreža: Mrežna otkrića identifikuju potencijalne izloženosti u mrežnim konfiguracijama koje bi napadači mogli iskoristiti. Ovo uključuje otvorene portove, nesigurne mrežne protokole i pogrešno konfigurisane sigurnosne grupe.
Filteri i pravila potiskivanja u Amazon Inspector-u pomažu u upravljanju i prioritetizaciji otkrića. Filteri vam omogućavaju da precizirate otkrića na osnovu specifičnih kriterijuma, kao što su ozbiljnost ili tip resursa. Pravila potiskivanja omogućavaju vam da potisnete određena otkrića koja se smatraju niskim rizikom, koja su već mitigirana, ili iz bilo kog drugog važnog razloga, sprečavajući ih da preopterete vaše bezbednosne izveštaje i omogućavajući vam da se fokusirate na kritičnije probleme.
Software Bill of Materials (SBOM) u Amazon Inspector-u je izvoziva ugnježdena inventarska lista koja detaljno opisuje sve komponente unutar softverskog paketa, uključujući biblioteke i zavisnosti. SBOM-ovi pomažu u pružanju transparentnosti u lancu snabdevanja softverom, omogućavajući bolje upravljanje ranjivostima i usklađenost. Oni su ključni za identifikaciju i mitigaciju rizika povezanih sa open source i komponentama trećih strana.
Amazon Inspector nudi mogućnost izvoza otkrića u Amazon S3 Buckets, Amazon EventBridge i AWS Security Hub, što vam omogućava da generišete detaljne izveštaje o identifikovanim ranjivostima i izloženostima za dalju analizu ili deljenje na određeni datum i vreme. Ova funkcija podržava različite formate izlaza kao što su CSV i JSON, olakšavajući integraciju sa drugim alatima i sistemima. Funkcionalnost izvoza omogućava prilagođavanje podataka uključenih u izveštaje, omogućavajući vam da filtrirate otkrića na osnovu specifičnih kriterijuma kao što su ozbiljnost, tip resursa ili vremenski opseg, uključujući po defaultu sva vaša otkrića u trenutnoj AWS regiji sa aktivnim statusom.
Kada izvozite otkrića, potrebna je ključna usluga za upravljanje ključevima (KMS) za enkripciju podataka tokom izvoza. KMS ključevi osiguravaju da su izvezena otkrića zaštićena od neovlašćenog pristupa, pružajući dodatni sloj bezbednosti za osetljive informacije o ranjivostima.
Amazon Inspector nudi robusne mogućnosti skeniranja za Amazon EC2 instance kako bi otkrio ranjivosti i bezbednosne probleme. Inspector upoređuje izvučene metapodatke iz EC2 instance sa pravilima iz bezbednosnih saveta kako bi proizveo ranjivosti paketa i probleme sa mrežnom dostupnošću. Ova skeniranja se mogu izvesti putem agent-based ili agentless metoda, u zavisnosti od konfiguracije scan mode postavki vašeg naloga.
Agent-Based: Koristi AWS Systems Manager (SSM) agenta za izvođenje dubokih skeniranja. Ova metoda omogućava sveobuhvatno prikupljanje i analizu podataka direktno sa instance.
Agentless: Pruža laganu alternativu koja ne zahteva instalaciju agenta na instanci, kreirajući EBS snimak svake jedinice EC2 instance, tražeći ranjivosti, a zatim ga brišući; koristeći postojeću AWS infrastrukturu za skeniranje.
Način skeniranja određuje koja metoda će se koristiti za izvođenje EC2 skeniranja:
Agent-Based: Uključuje instalaciju SSM agenta na EC2 instancama za duboku inspekciju.
Hybrid Scanning: Kombinuje agent-based i agentless metode kako bi maksimizirao pokrivenost i minimizirao uticaj na performanse. Na onim EC2 instancama gde je instaliran SSM agent, Inspector će izvršiti agent-based skeniranje, a za one gde nema SSM agenta, skeniranje će biti agentless.
Još jedna važna funkcija je duboka inspekcija za EC2 Linux instance. Ova funkcija nudi temeljnu analizu softvera i konfiguracije EC2 Linux instanci, pružajući detaljne procene ranjivosti, uključujući ranjivosti operativnog sistema, ranjivosti aplikacija i pogrešne konfiguracije, osiguravajući sveobuhvatnu bezbednosnu evaluaciju. Ovo se postiže inspekcijom prilagođenih putanja i svih njihovih poddirektorijuma. Po defaultu, Amazon Inspector će skenirati sledeće, ali svaki član naloga može definisati do 5 dodatnih prilagođenih putanja, a svaki delegirani administrator do 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector pruža robusne mogućnosti skeniranja za Amazon Elastic Container Registry (ECR) slike kontejnera, osiguravajući da se ranjivosti paketa otkriju i efikasno upravljaju.
Basic Scanning: Ovo je brzo i lagano skeniranje koje identifikuje poznate ranjivosti OS paketa u slikama kontejnera koristeći standardni set pravila iz open-source Clair projekta. Sa ovom konfiguracijom skeniranja, vaši repozitorijumi će biti skenirani prilikom push-a ili izvođenjem ručnih skeniranja.
Enhanced Scanning: Ova opcija dodaje funkciju kontinuiranog skeniranja pored skeniranja prilikom push-a. Enhanced skeniranje dublje analizira slojeve svake slike kontejnera kako bi identifikovalo ranjivosti u OS paketima i paketima programskih jezika sa većom tačnošću. Analizira i osnovnu sliku i sve dodatne slojeve, pružajući sveobuhvatan pregled potencijalnih bezbednosnih problema.
Amazon Inspector uključuje sveobuhvatne mogućnosti skeniranja za AWS Lambda funkcije i njihove slojeve, osiguravajući bezbednost i integritet serverless aplikacija. Inspector nudi dva tipa skeniranja za Lambda funkcije:
Lambda standard scanning: Ova podrazumevana funkcija identifikuje softverske ranjivosti u zavisnostima paketa aplikacije dodatim vašoj Lambda funkciji i slojevima. Na primer, ako vaša funkcija koristi verziju biblioteke kao što je python-jwt sa poznatom ranjivošću, generiše otkriće.
Lambda code scanning: Analizira prilagođeni kod aplikacije za bezbednosne probleme, otkrivajući ranjivosti kao što su greške u injekciji, curenje podataka, slaba kriptografija i nedostatak enkripcije. Zapisuje delove koda koji ističu otkrivene ranjivosti, kao što su hardkodovane akreditive. Otkrića uključuju detaljne preporuke za otklanjanje i delove koda za ispravljanje problema.
Amazon Inspector uključuje CIS skeniranja kako bi uporedio operativne sisteme Amazon EC2 instanci sa preporukama najboljih praksi iz Centra za internet bezbednost (CIS). Ova skeniranja osiguravaju da konfiguracije odgovaraju industrijskim standardima bezbednosti.
Konfiguracija: CIS skeniranja procenjuju da li sistemske konfiguracije ispunjavaju specifične CIS Benchmark preporuke, pri čemu je svaka provera povezana sa CIS ID-om provere i naslovom.
Izvršenje: Skeniranja se izvode ili zakazuju na osnovu oznaka instanci i definisanih rasporeda.
Rezultati: Rezultati nakon skeniranja ukazuju koje su provere prošle, preskočene ili pale, pružajući uvid u bezbednosnu poziciju svake instance.
Sa perspektive napadača, ova usluga može pomoći napadaču da pronađe ranjivosti i mrežne izloženosti koje bi mu mogle pomoći da kompromituje druge instance/kontejnere.
Međutim, napadač bi takođe mogao biti zainteresovan za ometanje ove usluge kako bi žrtva mogla da vidi ranjivosti (sve ili specifične).
inspector2:CreateFindingsReport, inspector2:CreateSBOMReportNapadač bi mogao generisati detaljne izveštaje o ranjivostima ili softverskom računu materijala (SBOM) i eksfiltrirati ih iz vašeg AWS okruženja. Ove informacije bi mogle biti iskorišćene za identifikaciju specifičnih slabosti, zastarelog softvera ili nesigurnih zavisnosti, omogućavajući ciljanje napada.
Следећи пример показује како да се ексфилтрирају све Активне налазе из Amazon Inspector-а у Amazon S3 Bucket који контролише нападач, са Amazon KMS кључем који контролише нападач:
Креирајте Amazon S3 Bucket и прикључите политику на њега како би био доступан из жртвованог Amazon Inspector-а:
Kreirajte Amazon KMS ključ i prikačite politiku na njega kako bi bio upotrebljiv od strane žrtvinog Amazon Inspectora:
Izvršite komandu za kreiranje izveštaja o nalazima eksfiltrirajući ga:
Potencijalni Uticaj: Generisanje i eksfiltracija detaljnih izveštaja o ranjivostima i softveru, sticanje uvida u specifične ranjivosti i bezbednosne slabosti.
inspector2:CancelFindingsReport, inspector2:CancelSbomExportNapadač bi mogao da otkaže generisanje navedenog izveštaja o nalazima ili SBOM izveštaja, sprečavajući bezbednosne timove da dobiju pravovremene informacije o ranjivostima i softverskom računu materijala (SBOM), odlažući otkrivanje i otklanjanje bezbednosnih problema.
Potencijalni Uticaj: Poremećaj u praćenju bezbednosti i sprečavanje pravovremenog otkrivanja i otklanjanja bezbednosnih problema.
inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilterNapadač sa ovim dozvolama mogao bi da manipuliše pravilima filtriranja koja određuju koje ranjivosti i bezbednosni problemi se prijavljuju ili potiskuju (ako je akcija postavljena na SUPPRESS, biće kreirano pravilo za potiskivanje). Ovo bi moglo sakriti kritične ranjivosti od bezbednosnih administratora, olakšavajući iskorišćavanje ovih slabosti bez otkrivanja. Menjanjem ili uklanjanjem važnih filtera, napadač bi takođe mogao da stvori šum preplavljujući sistem nevažnim nalazima, ometajući efikasno praćenje i odgovor na bezbednosne incidente.
Potencijalni Uticaj: Sakrivanje ili potiskivanje kritičnih ranjivosti, ili preplavljivanje sistema nevažnim nalazima.
inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)Napadač bi mogao značajno da ometa strukturu upravljanja bezbednošću.
Onemogućavanjem delegiranog administratorskog naloga, napadač bi mogao sprečiti bezbednosni tim da pristupi i upravlja podešavanjima i izveštajima Amazon Inspectora.
Omogućavanje neovlašćenog administratorskog naloga omogućilo bi napadaču da kontroliše bezbednosne konfiguracije, potencijalno onemogućavajući skeniranja ili menjajući podešavanja kako bi sakrio zlonamerne aktivnosti.
Neophodno je da neovlašćeni nalog bude u istoj Organizaciji kao žrtva kako bi postao delegirani administrator.
Da bi neovlašćeni nalog postao delegirani administrator, takođe je neophodno da nakon što je legitimni delegirani administrator onemogućen, i pre nego što se neovlašćeni nalog omogući kao delegirani administrator, legitimni administrator mora biti deregistrovan kao delegirani administrator iz organizacije. Ovo se može uraditi sledećom komandom (organizations:DeregisterDelegatedAdministrator dozvola je potrebna): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Potencijalni Uticaj: Poremećaj u upravljanju bezbednošću.
inspector2:AssociateMember, inspector2:DisassociateMemberNapadač bi mogao da manipuliše asocijacijom članova naloga unutar Amazon Inspector organizacije. Povezivanjem neovlašćenih naloga ili odspajanjem legitimnih, napadač bi mogao da kontroliše koji nalozi su uključeni u bezbednosne skenove i izveštavanje. To bi moglo dovesti do isključenja kritičnih naloga iz bezbednosnog nadzora, omogućavajući napadaču da iskoristi ranjivosti u tim nalozima bez otkrivanja.
Ova akcija zahteva da je izvrši delegirani administrator.
Potencijalni Uticaj: Isključenje ključnih naloga iz bezbednosnih skeniranja, omogućavajući neprimećeno iskorišćavanje ranjivosti.
inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)Napadač sa dozvolom inspector2:Disable mogao bi da onemogući bezbednosna skeniranja na specifičnim tipovima resursa (EC2, ECR, Lambda, Lambda kod) za navedene naloge, ostavljajući delove AWS okruženja neproverene i ranjive na napade. Pored toga, zahvaljujući dozvolama inspector2:Enable & iam:CreateServiceLinkedRole, napadač bi mogao da ponovo omogući skeniranja selektivno kako bi izbegao otkrivanje sumnjivih konfiguracija.
Ova akcija zahteva da je izvrši delegirani administrator.
Potencijalni Uticaj: Kreiranje slepih tačaka u bezbednosnom nadzoru.
inspector2:UpdateOrganizationConfigurationNapadač sa ovom dozvolom bi mogao da ažurira konfiguracije za vašu Amazon Inspector organizaciju, utičući na podrazumevane funkcije skeniranja omogućene za nove članove naloga.
Ova akcija zahteva da je izvrši delegirani administrator.
Potencijalni Uticaj: Izmeniti politike i konfiguracije bezbednosnog skeniranja za organizaciju.
inspector2:TagResource, inspector2:UntagResourceNapadač bi mogao da manipuliše oznakama na AWS Inspector resursima, koje su ključne za organizovanje, praćenje i automatizaciju bezbednosnih procena. Izmenom ili uklanjanjem oznaka, napadač bi potencijalno mogao da sakrije ranjivosti od bezbednosnih skeniranja, ometa izveštavanje o usklađenosti i ometa procese automatizovane ispravke, što dovodi do nekontrolisanih bezbednosnih problema i kompromitovane integriteta sistema.
Potencijalni uticaj: Sakrivanje ranjivosti, prekid izveštavanja o usklađenosti, prekid automatizacije bezbednosti i prekid alokacije troškova.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
