AWS - CodeBuild Post Exploitation
Last updated
Last updated
Daha fazla bilgi için şuna bakın:
CodeBuild'i yapılandırmak için kullanılacak olan kod deposuna erişime ihtiyaç duyacaktır. Bu kodu barındıran birkaç platform olabilir:
CodeBuild projesinin yapılandırılmış kaynak sağlayıcıya erişimi olmalıdır, ya IAM rolü aracılığıyla ya da bir github/bitbucket tokenı veya OAuth erişimi ile.
Bir saldırgan, CodeBuild üzerinde yükseltilmiş izinlere sahipse, yapılandırılmış erişimi kötüye kullanarak yapılandırılmış depodaki kodu ve erişimi olan diğer depoları sızdırabilir. Bunu yapmak için, bir saldırgan sadece her bir depo için depo URL'sini değiştirmesi yeterlidir (AWS web sitesi bunları size listeleyecektir):
Ve Buildspec komutlarını her bir depoyu dışarıya sızdırmak için değiştirmesi gerekmektedir.
Ancak, bu görev tekrarlayıcı ve sıkıcıdır ve bir github tokenı yazma izinleriyle yapılandırılmışsa, bir saldırgan bu izinleri (kötüye) kullanamaz çünkü tokena erişimi yoktur. Ya da var mı? Bir sonraki bölüme bakın.
CodeBuild'de verilen erişimi Github gibi platformlara sızdırabilirsiniz. Harici platformlara erişim verilip verilmediğini kontrol edin:
codebuild:DeleteProject
Bir saldırgan, bir CodeBuild projesini tamamen silebilir, bu da proje yapılandırmasının kaybolmasına ve projeye güvenen uygulamaların etkilenmesine neden olabilir.
Potansiyel Etki: Silinen projeyi kullanan uygulamalar için proje yapılandırmasının kaybı ve hizmet kesintisi.
codebuild:TagResource
, codebuild:UntagResource
Bir saldırgan, CodeBuild kaynaklarından etiketleri ekleyebilir, değiştirebilir veya kaldırabilir. Bu durumda, kuruluşunuzun maliyet tahsisi, kaynak takibi ve etiketlere dayalı erişim kontrol politikaları bozulabilir.
Potansiyel Etki: Maliyet tahsisi, kaynak takibi ve etiket tabanlı erişim kontrol politikalarının bozulması.
codebuild:DeleteSourceCredentials
Bir saldırgan, bir Git deposu için kaynak kimlik bilgilerini silebilir ve depoya dayanan uygulamaların normal işleyişini etkileyebilir.
Potansiyel Etki: Etkilenen depoya ait kaynak kimlik bilgilerinin kaldırılması nedeniyle, etkilenen depoya güvenen uygulamaların normal işleyişi bozulabilir.