AWS - Inspector Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector ni huduma ya juu ya usimamizi wa udhaifu iliyoundwa kuboresha usalama wa mazingira yako ya AWS. Huduma hii inafanya skanning mara kwa mara ya Amazon EC2 instances, picha za kontena katika Amazon ECR, Amazon ECS, na kazi za AWS Lambda kwa udhaifu na kufichuliwa kwa mtandao bila kukusudia. Kwa kutumia hifadhidata yenye nguvu ya ujasusi wa udhaifu, Amazon Inspector inatoa matokeo ya kina, ikiwa ni pamoja na viwango vya ukali na mapendekezo ya kurekebisha, ikisaidia mashirika kutambua na kushughulikia hatari za usalama kwa njia ya awali. Njia hii ya kina inahakikisha msimamo thabiti wa usalama katika huduma mbalimbali za AWS, ikisaidia katika kufuata sheria na usimamizi wa hatari.
Matokeo katika Amazon Inspector ni ripoti za kina kuhusu udhaifu na kufichuliwa kwa mtandao yaliyogunduliwa wakati wa skanning ya EC2 instances, ECR repositories, au kazi za Lambda. Kulingana na hali yake, matokeo yanagawanywa kama:
Active: Matokeo hayajarekebishwa.
Closed: Matokeo yamekamilishwa.
Suppressed: Matokeo yamewekwa katika hali hii kutokana na moja au zaidi ya sheria za kukandamiza.
Matokeo pia yanagawanywa katika aina tatu zifuatazo:
Package: Matokeo haya yanahusiana na udhaifu katika pakiti za programu zilizowekwa kwenye rasilimali zako. Mifano ni pamoja na maktaba za zamani au utegemezi zenye matatizo ya usalama yanayojulikana.
Code: Kategoria hii inajumuisha udhaifu ulio katika msimbo wa programu zinazotumia rasilimali zako za AWS. Masuala ya kawaida ni makosa ya uandishi au mbinu zisizo salama ambazo zinaweza kusababisha uvunjaji wa usalama.
Network: Matokeo ya mtandao yanatambua kufichuliwa kwa uwezekano katika usanidi wa mtandao ambao unaweza kutumiwa na washambuliaji. Hizi ni pamoja na bandari wazi, protokali zisizo salama za mtandao, na vikundi vya usalama vilivyopangwa vibaya.
Filters na sheria za kukandamiza katika Amazon Inspector husaidia kusimamia na kuweka kipaumbele matokeo. Filters zinakuwezesha kuboresha matokeo kulingana na vigezo maalum, kama vile ukali au aina ya rasilimali. Sheria za kukandamiza zinakuwezesha kukandamiza matokeo fulani ambayo yanachukuliwa kuwa hatari ndogo, tayari yamepunguziliwa, au kwa sababu nyingine muhimu, kuzuia kujaa kwa ripoti zako za usalama na kukuwezesha kuzingatia masuala muhimu zaidi.
Software Bill of Materials (SBOM) katika Amazon Inspector ni orodha ya hesabu ya ndani inayoweza kusafirishwa ikielezea vipengele vyote ndani ya pakiti ya programu, ikiwa ni pamoja na maktaba na utegemezi. SBOM husaidia kutoa uwazi katika mnyororo wa usambazaji wa programu, ikiruhusu usimamizi bora wa udhaifu na kufuata sheria. Ni muhimu katika kutambua na kupunguza hatari zinazohusiana na vipengele vya programu za chanzo wazi na za wahusika wengine.
Amazon Inspector inatoa uwezo wa kusafirisha matokeo hadi Amazon S3 Buckets, Amazon EventBridge na AWS Security Hub, ambayo inakuwezesha kuunda ripoti za kina za udhaifu na kufichuliwa kwa mtandao kwa uchambuzi zaidi au kushiriki kwa tarehe na wakati maalum. Kipengele hiki kinaunga mkono fomati mbalimbali za pato kama vile CSV na JSON, na kufanya iwe rahisi kuunganishwa na zana na mifumo mingine. Uwezo wa kusafirisha unaruhusu kubadilisha data iliyojumuishwa katika ripoti, ikikuruhusu kuchuja matokeo kulingana na vigezo maalum kama vile ukali, aina ya rasilimali, au kipindi cha tarehe na ikiwa kwa default inajumuisha matokeo yako yote katika Mkoa wa AWS wa sasa yenye hali ya Active.
Wakati wa kusafirisha matokeo, funguo za Key Management Service (KMS) zinahitajika ili kuficha data wakati wa usafirishaji. Funguo za KMS zinahakikisha kuwa matokeo yaliyosafirishwa yanapewa ulinzi dhidi ya ufikiaji usioidhinishwa, na kutoa safu ya ziada ya usalama kwa habari nyeti za udhaifu.
Amazon Inspector inatoa uwezo mzuri wa skanning kwa Amazon EC2 instances ili kugundua udhaifu na masuala ya usalama. Inspector ililinganisha metadata iliyochukuliwa kutoka kwa EC2 instance dhidi ya sheria kutoka kwa taarifa za usalama ili kutoa udhaifu wa pakiti na masuala ya upatikanaji wa mtandao. Skanning hizi zinaweza kufanywa kupitia agent-based au agentless mbinu, kulingana na usanidi wa scan mode wa akaunti yako.
Agent-Based: Inatumia wakala wa AWS Systems Manager (SSM) kufanya skanning za kina. Mbinu hii inaruhusu ukusanyaji wa data wa kina na uchambuzi moja kwa moja kutoka kwa instance.
Agentless: Inatoa chaguo nyepesi ambacho hakihitaji kufunga wakala kwenye instance, kuunda picha ya EBS ya kila kiasi cha EC2 instance, kutafuta udhaifu, na kisha kuifuta; ikitumia miundombinu iliyopo ya AWS kwa ajili ya skanning.
Msimamo wa skanning unamua mbinu ipi itatumika kufanya skanning za EC2:
Agent-Based: Inahusisha kufunga wakala wa SSM kwenye EC2 instances kwa ukaguzi wa kina.
Hybrid Scanning: Inachanganya mbinu za agent-based na agentless ili kuongeza ufanisi na kupunguza athari za utendaji. Katika EC2 instances hizo ambapo wakala wa SSM umewekwa, Inspector itafanya skanning ya agent-based, na kwa wale ambapo hakuna wakala wa SSM, skanning itakayofanywa itakuwa agentless.
Kipengele kingine muhimu ni ukaguzi wa kina kwa EC2 Linux instances. Kipengele hiki kinatoa uchambuzi wa kina wa programu na usanidi wa EC2 Linux instances, kikitoa tathmini za kina za udhaifu, ikiwa ni pamoja na udhaifu wa mfumo wa uendeshaji, udhaifu wa programu, na usanidi usio sahihi, kuhakikisha tathmini ya usalama ya kina. Hii inafanywa kupitia ukaguzi wa njia maalum na kila moja ya saraka zake za chini. Kwa default, Amazon Inspector itafanya skanning ya yafuatayo, lakini kila akaunti ya mwanachama inaweza kufafanua hadi njia 5 zaidi maalum, na kila msimamizi aliyepewa hadi 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector inatoa uwezo mzuri wa skanning kwa picha za kontena za Amazon Elastic Container Registry (ECR), kuhakikisha kuwa udhaifu wa pakiti unagundulika na kusimamiwa kwa ufanisi.
Basic Scanning: Hii ni skanning ya haraka na nyepesi inayotambua udhaifu wa pakiti za OS zinazojulikana katika picha za kontena kwa kutumia seti ya kawaida ya sheria kutoka mradi wa chanzo wazi wa Clair. Kwa usanidi huu wa skanning, hazina zako zitafanywa skanning wakati wa kupakia, au kufanya skanning za mikono.
Enhanced Scanning: Chaguo hili linaongeza kipengele cha skanning endelevu pamoja na skanning wakati wa kupakia. Skanning iliyoimarishwa inaingia kwa undani zaidi katika tabaka za kila picha ya kontena ili kutambua udhaifu katika pakiti za OS na katika pakiti za lugha za programu kwa usahihi zaidi. Inachambua picha ya msingi na tabaka zozote za ziada, ikitoa mtazamo wa kina wa masuala ya usalama yanayoweza kutokea.
Amazon Inspector inajumuisha uwezo wa skanning wa kina kwa kazi za AWS Lambda na tabaka zake, kuhakikisha usalama na uadilifu wa programu zisizo na seva. Inspector inatoa aina mbili za skanning kwa kazi za Lambda:
Lambda standard scanning: Kipengele hiki cha default kinatambua udhaifu wa programu katika utegemezi wa pakiti za programu zilizoongezwa kwenye kazi yako ya Lambda na tabaka. Kwa mfano, ikiwa kazi yako inatumia toleo la maktaba kama python-jwt lenye udhaifu unaojulikana, inazalisha matokeo.
Lambda code scanning: Inachambua msimbo wa programu maalum kwa masuala ya usalama, ikitambua udhaifu kama vile kasoro za kuingiza, kufichuliwa kwa data, cryptography dhaifu, na ukosefu wa usimbaji. Inakamata vipande vya msimbo vinavyoonyesha udhaifu ulio gundulika, kama vile akidi za siri zilizowekwa kwa nguvu. Matokeo yanajumuisha mapendekezo ya kina ya kurekebisha na vipande vya msimbo vya kutatua masuala.
Amazon Inspector inajumuisha skanning za CIS ili kupima mifumo ya uendeshaji ya Amazon EC2 dhidi ya mapendekezo bora kutoka Kituo cha Usalama wa Mtandao (CIS). Skanning hizi zinahakikisha usanidi unafuata viwango vya usalama vya viwanda.
Configuration: Skanning za CIS zinakagua ikiwa usanidi wa mfumo unakidhi mapendekezo maalum ya CIS Benchmark, huku kila ukaguzi ukiunganishwa na ID ya ukaguzi wa CIS na kichwa.
Execution: Skanning zinafanywa au kupanga kulingana na lebo za instance na ratiba zilizofafanuliwa.
Results: Matokeo baada ya skanning yanaonyesha ni ukaguzi gani ulipita, uliachwa, au ulifeli, na kutoa mwanga juu ya msimamo wa usalama wa kila instance.
Kutoka kwa mtazamo wa mshambuliaji, huduma hii inaweza kumsaidia mshambuliaji kupata udhaifu na wazi za mtandao ambazo zinaweza kumsaidia kuathiri mifano/containers nyingine.
Hata hivyo, mshambuliaji anaweza pia kuwa na hamu ya kuharibu huduma hii ili mwathirika asiweze kuona udhaifu (zote au maalum).
inspector2:CreateFindingsReport
, inspector2:CreateSBOMReport
Mshambuliaji anaweza kuunda ripoti za kina za udhaifu au orodha ya vifaa vya programu (SBOMs) na kuzitoa kutoka kwa mazingira yako ya AWS. Taarifa hii inaweza kutumika kubaini udhaifu maalum, programu za zamani, au utegemezi usio salama, ikiruhusu mashambulizi yaliyolengwa.
Unda Amazon S3 Bucket na uambatishe sera ili iweze kufikiwa kutoka kwa mwathirika Amazon Inspector:
Unda ufunguo wa Amazon KMS na uambatishe sera ili uweze kutumika na Amazon Inspector ya mwathirika:
Tekeleza amri ya kuunda ripoti ya matokeo kwa kuhamasisha:
Madhara Yanayoweza Kutokea: Uundaji na uhamasishaji wa ripoti za udhaifu na programu, kupata maarifa kuhusu udhaifu maalum na mapungufu ya usalama.
inspector2:CancelFindingsReport
, inspector2:CancelSbomExport
Mshambuliaji anaweza kufuta uundaji wa ripoti ya matokeo iliyotajwa au ripoti ya SBOM, kuzuia timu za usalama kupokea taarifa kwa wakati kuhusu udhaifu na bili ya vifaa vya programu (SBOMs), kuchelewesha kugundua na kurekebisha masuala ya usalama.
Madhara Yanayoweza Kutokea: Kuingiliwa kwa ufuatiliaji wa usalama na kuzuia kugunduliwa na kurekebishwa kwa masuala ya usalama kwa wakati.
inspector2:CreateFilter
, inspector2:UpdateFilter
, inspector2:DeleteFilter
Mshambuliaji mwenye ruhusa hizi angeweza kubadilisha sheria za kuchuja ambazo zinatambulisha ni hatari zipi na masuala ya usalama yanayoripotiwa au kufichwa (ikiwa kitendo kimewekwa kuwa SUPPRESS, sheria ya kuficha itaundwa). Hii inaweza kuficha hatari muhimu kutoka kwa wasimamizi wa usalama, na kufanya iwe rahisi kutumia udhaifu hizi bila kugunduliwa. Kwa kubadilisha au kuondoa filters muhimu, mshambuliaji pia angeweza kuunda kelele kwa kujaa mfumo na matokeo yasiyo na maana, na kuzuia ufuatiliaji wa usalama na majibu kuwa na ufanisi.
Madhara Yanayoweza Kutokea: Kuficha au kuzuiya udhaifu muhimu, au kujaa mfumo na matokeo yasiyo na maana.
inspector2:DisableDelegatedAdminAccount
, (inspector2:EnableDelegatedAdminAccount
& organizations:ListDelegatedAdministrators
& organizations:EnableAWSServiceAccess
& iam:CreateServiceLinkedRole
)Mshambuliaji anaweza kuharibu kwa kiasi kikubwa muundo wa usimamizi wa usalama.
Kwa kuzima akaunti ya msimamizi aliyeteuliwa, mshambuliaji anaweza kuzuia timu ya usalama kufikia na kusimamia mipangilio na ripoti za Amazon Inspector.
Kuwezesha akaunti ya msimamizi isiyoidhinishwa kutaruhusu mshambuliaji kudhibiti mipangilio ya usalama, huenda akazima skana au kubadilisha mipangilio ili kuficha shughuli mbaya.
Inahitajika kwa akaunti isiyoidhinishwa kuwa katika Shirika moja na mwathirika ili kuwa msimamizi aliyeteuliwa.
Ili akaunti isiyoidhinishwa iweze kuwa msimamizi aliyeteuliwa, inahitajika pia kwamba baada ya msimamizi halali aliyeteuliwa kuzuiwa, na kabla ya akaunti isiyoidhinishwa kuwezeshwa kama msimamizi aliyeteuliwa, msimamizi halali lazima aondolewe kama msimamizi aliyeteuliwa kutoka shirika. Hii inaweza kufanywa kwa amri ifuatayo (organizations:DeregisterDelegatedAdministrator
ruhusa inahitajika): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Madhara Yanayoweza Kutokea: Kuingiliwa kwa usimamizi wa usalama.
inspector2:AssociateMember
, inspector2:DisassociateMember
Mshambuliaji anaweza kubadilisha ushirikiano wa akaunti za wanachama ndani ya shirika la Amazon Inspector. Kwa kuunganisha akaunti zisizoidhinishwa au kutenganisha zile halali, mshambuliaji anaweza kudhibiti ni akaunti zipi zinazojumuishwa katika skani za usalama na ripoti. Hii inaweza kusababisha akaunti muhimu kutengwa kutoka kwa ufuatiliaji wa usalama, ikimuwezesha mshambuliaji kutumia udhaifu katika akaunti hizo bila kugundulika.
Kitendo hiki kinahitaji kufanywa na msimamizi aliyepewa mamlaka.
Madhara Yanayoweza Kutokea: Kutengwa kwa akaunti muhimu kutoka kwa skana za usalama, kuruhusu matumizi mabaya ya udhaifu bila kugundulika.
inspector2:Disable
, (inspector2:Enable
& iam:CreateServiceLinkedRole
)Mshambuliaji mwenye ruhusa ya inspector2:Disable
angeweza kuzima skana za usalama kwenye aina maalum za rasilimali (EC2, ECR, Lambda, Lambda code) juu ya akaunti zilizotajwa, na kuacha sehemu za mazingira ya AWS bila ufuatiliaji na zikiwa hatarini kwa mashambulizi. Zaidi ya hayo, kutokana na ruhusa za inspector2:Enable
& iam:CreateServiceLinkedRole
, mshambuliaji angeweza kurejesha skana kwa kuchagua ili kuepuka kugundulika kwa usanidi wa mashaka.
Kitendo hiki kinahitaji kufanywa na msimamizi aliyepewa mamlaka.
Madhara Yanayoweza Kutokea: Uundaji wa maeneo yasiyoonekana katika ufuatiliaji wa usalama.
inspector2:UpdateOrganizationConfiguration
Mshambuliaji mwenye ruhusa hii angeweza kuboresha mipangilio ya shirika lako la Amazon Inspector, ikihusisha vipengele vya skanning vya default vilivyowekwa kwa akaunti mpya za wanachama.
Kitendo hiki kinahitaji kufanywa na msimamizi aliyeteuliwa.
Madhara Yanayoweza Kutokea: Badilisha sera za skana za usalama na mipangilio kwa shirika.
inspector2:TagResource
, inspector2:UntagResource
Mshambuliaji anaweza kubadilisha lebo kwenye rasilimali za AWS Inspector, ambazo ni muhimu kwa kupanga, kufuatilia, na kuendesha tathmini za usalama. Kwa kubadilisha au kuondoa lebo, mshambuliaji anaweza kwa urahisi kuficha udhaifu kutoka kwa skana za usalama, kuharibu ripoti za ufuatiliaji, na kuingilia mchakato wa kurekebisha kiotomatiki, na kusababisha matatizo ya usalama yasiyodhibitiwa na kuathiri uaminifu wa mfumo.
Madhara Yanayoweza Kutokea: Kuficha udhaifu, kuingiliwa kwa ripoti za ufuatiliaji, kuingiliwa kwa automatisering ya usalama na kuingiliwa kwa ugawaji wa gharama.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)