Terraform Security
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
HashiCorp Terraform — це інструмент інфраструктури як код, який дозволяє вам визначати як хмарні, так і локальні ресурси у конфігураційних файлах, що легко читаються, які ви можете версіювати, повторно використовувати та ділитися. Потім ви можете використовувати послідовний робочий процес для розгортання та управління всією вашою інфраструктурою протягом її життєвого циклу. Terraform може керувати низькорівневими компонентами, такими як обчислення, зберігання та мережеві ресурси, а також високорівневими компонентами, такими як DNS-записи та функції SaaS.
Terraform створює та управляє ресурсами на хмарних платформах та інших сервісах через їхні інтерфейси програмування додатків (API). Провайдери дозволяють Terraform працювати практично з будь-якою платформою або сервісом з доступним API.
HashiCorp та спільнота Terraform вже написали більше 1700 провайдерів для управління тисячами різних типів ресурсів та сервісів, і ця кількість продовжує зростати. Ви можете знайти всі публічно доступні провайдери на Terraform Registry, включаючи Amazon Web Services (AWS), Azure, Google Cloud Platform (GCP), Kubernetes, Helm, GitHub, Splunk, DataDog та багато інших.
Основний робочий процес Terraform складається з трьох етапів:
Write: Ви визначаєте ресурси, які можуть бути на кількох хмарних провайдерах та сервісах. Наприклад, ви можете створити конфігурацію для розгортання програми на віртуальних машинах у мережі Virtual Private Cloud (VPC) з групами безпеки та балансувальником навантаження.
Plan: Terraform створює план виконання, що описує інфраструктуру, яку він створить, оновить або знищить на основі існуючої інфраструктури та вашої конфігурації.
Apply: Після затвердження Terraform виконує запропоновані операції в правильному порядку, дотримуючись будь-яких залежностей ресурсів. Наприклад, якщо ви оновлюєте властивості VPC і змінюєте кількість віртуальних машин у цьому VPC, Terraform спочатку відтворить VPC, перш ніж масштабувати віртуальні машини.
Просто встановіть terraform на свій комп'ютер.
Ось у вас є посібник, а ось найкращий спосіб завантажити terraform.
Terraform не має платформи, що відкриває веб-сторінку або мережевий сервіс, який ми можемо перерахувати, тому єдиний спосіб скомпрометувати terraform — це мати можливість додавати/модифікувати конфігураційні файли terraform.
Однак terraform є дуже чутливим компонентом для компрометації, оскільки він матиме привілейований доступ до різних місць, щоб працювати належним чином.
Основний спосіб для зловмисника скомпрометувати систему, на якій працює terraform, — це скомпрометувати репозиторій, що зберігає конфігурації terraform, оскільки в якийсь момент вони будуть інтерпретовані.
Насправді існують рішення, які автоматично виконують terraform plan/apply після створення PR, такі як Atlantis:
Atlantis SecurityЯкщо ви зможете скомпрометувати файл terraform, існують різні способи, якими ви можете виконати RCE, коли хтось виконує terraform plan або terraform apply.
Terraform plan — це найбільш використовувана команда в terraform, і розробники/рішення, що використовують terraform, викликають її постійно, тому найпростіший спосіб отримати RCE — це переконатися, що ви отруїли конфігураційний файл terraform, який виконає довільні команди в terraform plan.
Using an external provider
Terraform пропонує external provider, який забезпечує спосіб взаємодії між Terraform та зовнішніми програмами. Ви можете використовувати джерело даних external, щоб виконувати довільний код під час plan.
Впровадження в конфігураційний файл terraform чогось на зразок наступного виконає rev shell під час виконання terraform plan:
Використання кастомного провайдера
Зловмисник може надіслати кастомний провайдер до Terraform Registry і потім додати його до коду Terraform у функціональній гілці (приклад звідси):
Провайдер завантажується в init і запустить шкідливий код, коли буде виконано plan
Ви можете знайти приклад у https://github.com/rung/terraform-provider-cmdexec
Використання зовнішнього посилання
Обидва згадані варіанти корисні, але не дуже приховані (другий варіант більш прихований, але складніший за перший). Ви можете виконати цю атаку навіть більш приховано, дотримуючись цих порад:
Замість того, щоб додавати rev shell безпосередньо в файл terraform, ви можете завантажити зовнішній ресурс, який містить rev shell:
Ви можете знайти код rev shell за посиланням https://github.com/carlospolop/terraform_external_module_rev_shell/tree/main/modules
У зовнішньому ресурсі використовуйте функцію ref, щоб приховати код terraform rev shell у гілці всередині репозиторію, щось на зразок: git@github.com:carlospolop/terraform_external_module_rev_shell//modules?ref=b401d2b
Terraform apply буде виконано для застосування всіх змін, ви також можете зловживати цим, щоб отримати RCE, інжектуючи зловмисний Terraform файл з local-exec.
Вам просто потрібно переконатися, що якийсь payload, наприклад, наступні, закінчується у файлі main.tf:
Слідуйте рекомендаціям з попередньої техніки, щоб виконати цю атаку більш приховано, використовуючи зовнішні посилання.
Ви можете вивести секретні значення, які використовуються terraform, запустивши terraform apply, додавши до файлу terraform щось на зразок:
У випадку, якщо у вас є доступ на запис до файлів стану terraform, але ви не можете змінити код terraform, це дослідження пропонує кілька цікавих варіантів використання файлу:
Існує 2 способи знищити ресурси:
Вставити ресурс з випадковою назвою у файл стану, що вказує на реальний ресурс для знищення
Оскільки terraform побачить, що ресурс не повинен існувати, він його знищить (слідуючи за реальним ідентифікатором ресурсу, що вказаний). Приклад з попередньої сторінки:
Змініть ресурс для видалення таким чином, щоб його не можна було оновити (щоб його видалили та відтворили)
Для EC2 інстансу, зміна типу інстансу є достатньою для того, щоб terraform видалив і відтворив його.
Також можливо створити власного провайдера і просто замінити одного з провайдерів у файлі стану terraform на шкідливий або додати порожній ресурс з шкідливим провайдером. Приклад з оригінального дослідження:
У разі, якщо ви зіткнетеся з ситуацією, коли hashicorp/external був заблокований, ви можете повторно реалізувати провайдер external, виконавши наступні дії. Примітка: Ми використовуємо форк провайдера external, опублікований за адресою https://registry.terraform.io/providers/nazarewk/external/latest. Ви також можете опублікувати свій власний форк або повторну реалізацію.
Тоді ви можете використовувати external як зазвичай.
Snyk пропонує всебічне рішення для сканування Infrastructure as Code (IaC), яке виявляє вразливості та неправильні налаштування в Terraform, CloudFormation, Kubernetes та інших форматах IaC.
Features:
Сканування в реальному часі для вразливостей безпеки та проблем з відповідністю.
Інтеграція з системами контролю версій (GitHub, GitLab, Bitbucket).
Автоматизовані запити на виправлення.
Докладні рекомендації щодо усунення.
Sign Up: Створіть обліковий запис на Snyk.
Checkov — це інструмент статичного аналізу коду для інфраструктури як коду (IaC), а також інструмент аналізу складу програмного забезпечення (SCA) для зображень та відкритих пакетів.
Він сканує хмарну інфраструктуру, що надається за допомогою Terraform, Terraform plan, Cloudformation, AWS SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM Templates або OpenTofu і виявляє проблеми з безпекою та відповідністю за допомогою сканування на основі графів.
Він виконує аналіз складу програмного забезпечення (SCA), що є скануванням відкритих пакетів та зображень на наявність загальних вразливостей та експозицій (CVEs).
З документації: terraform-compliance - це легка, орієнтована на безпеку та відповідність тестова рамка для terraform, що дозволяє здійснювати негативне тестування вашої інфраструктури як коду.
відповідність: Переконайтеся, що реалізований код відповідає стандартам безпеки, вашим власним стандартам
розробка, орієнтована на поведінку: У нас є BDD практично для всього, чому б не для IaC?
портативність: просто встановіть його з pip або запустіть через docker. Дивіться Встановлення
попереднє розгортання: він перевіряє ваш код перед його розгортанням
легкість інтеграції: він може працювати у вашому конвеєрі (або в git hooks), щоб забезпечити перевірку всіх розгортань.
сегрегація обов'язків: ви можете зберігати свої тести в іншому репозиторії, де окрема команда відповідає за них.
На жаль, якщо код використовує деякі провайдери, до яких у вас немає доступу, ви не зможете виконати terraform plan і запустити цей інструмент.
З документації: tfsec використовує статичний аналіз вашого коду terraform для виявлення потенційних неправильних налаштувань.
☁️ Перевіряє на неправильні налаштування у всіх основних (і деяких незначних) хмарних провайдерів
⛔ Сотні вбудованих правил
🪆 Сканує модулі (локальні та віддалені)
➕ Оцінює вирази HCL, а також літеральні значення
↪️ Оцінює функції Terraform, наприклад, concat()
🔗 Оцінює взаємозв'язки між ресурсами Terraform
🧰 Сумісний з Terraform CDK
🙅 Застосовує (та прикрашає) визначені користувачем політики Rego
📃 Підтримує кілька форматів виводу: lovely (за замовчуванням), JSON, SARIF, CSV, CheckStyle, JUnit, text, Gif.
🛠️ Налаштовуваний (через CLI флаги та/або конфігураційний файл)
⚡ Дуже швидкий, здатний швидко сканувати величезні репозиторії
Знайдіть вразливості безпеки, проблеми з відповідністю та неправильні конфігурації інфраструктури на ранніх етапах циклу розробки вашої інфраструктури як коду за допомогою KICS від Checkmarx.
KICS означає Keeping Infrastructure as Code Secure, це програмне забезпечення з відкритим кодом і є обов'язковим для будь-якого проекту, орієнтованого на хмарні технології.
З документації: Terrascan — це статичний аналізатор коду для Інфраструктури як Коду. Terrascan дозволяє вам:
Безперешкодно сканувати інфраструктуру як код на наявність неправильних налаштувань.
Моніторити надану хмарну інфраструктуру на предмет змін конфігурації, які призводять до зміщення позиції, і дозволяє повернутися до безпечної позиції.
Виявляти вразливості безпеки та порушення відповідності.
Зменшувати ризики перед наданням хмарної нативної інфраструктури.
Пропонує гнучкість для локального запуску або інтеграції з вашим CI\CD.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
