Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Inspector - це розширена автоматизована служба управління вразливостями, призначена для підвищення безпеки вашого середовища AWS. Ця служба постійно сканує екземпляри Amazon EC2, образи контейнерів в Amazon ECR, Amazon ECS та функції AWS Lambda на наявність вразливостей та ненавмисного мережевого впливу. Використовуючи надійну базу даних інтелекту вразливостей, Amazon Inspector надає детальні висновки, включаючи рівні серйозності та рекомендації щодо усунення, допомагаючи організаціям проактивно виявляти та усувати ризики безпеки. Цей комплексний підхід забезпечує зміцнення безпеки в різних службах AWS, сприяючи дотриманню вимог та управлінню ризиками.
Висновки в Amazon Inspector - це детальні звіти про вразливості та впливи, виявлені під час сканування екземплярів EC2, репозиторіїв ECR або функцій Lambda. В залежності від свого стану, висновки класифікуються як:
Active: Висновок не був усунений.
Closed: Висновок був усунений.
Suppressed: Висновок був позначений цим станом через одну або кілька правил придушення.
Висновки також класифікуються на три типи:
Package: Ці висновки стосуються вразливостей у програмних пакетах, встановлених на ваших ресурсах. Прикладами є застарілі бібліотеки або залежності з відомими проблемами безпеки.
Code: Ця категорія включає вразливості, виявлені в коді додатків, що працюють на ваших ресурсах AWS. Загальні проблеми - це помилки кодування або ненадійні практики, які можуть призвести до порушення безпеки.
Network: Мережеві висновки виявляють потенційні впливи в мережевих конфігураціях, які можуть бути використані зловмисниками. До них відносяться відкриті порти, ненадійні мережеві протоколи та неправильно налаштовані групи безпеки.
Фільтри та правила придушення в Amazon Inspector допомагають управляти та пріоритизувати висновки. Фільтри дозволяють уточнити висновки на основі конкретних критеріїв, таких як серйозність або тип ресурсу. Правила придушення дозволяють придушити певні висновки, які вважаються низьким ризиком, вже були пом'якшені або з будь-якої іншої важливої причини, запобігаючи їх перевантаженню ваших звітів з безпеки та дозволяючи зосередитися на більш критичних питаннях.
Програмний рахунок матеріалів (SBOM) в Amazon Inspector - це експортований вкладений список інвентаризації, що детально описує всі компоненти в програмному пакеті, включаючи бібліотеки та залежності. SBOM допомагає забезпечити прозорість у ланцюгу постачання програмного забезпечення, що дозволяє краще управляти вразливостями та дотримуватися вимог. Вони є важливими для виявлення та пом'якшення ризиків, пов'язаних з компонентами програмного забезпечення з відкритим кодом та сторонніми постачальниками.
Amazon Inspector пропонує можливість експортувати висновки в Amazon S3 Buckets, Amazon EventBridge та AWS Security Hub, що дозволяє генерувати детальні звіти про виявлені вразливості та впливи для подальшого аналізу або обміну в конкретну дату та час. Ця функція підтримує різні формати виводу, такі як CSV та JSON, що полегшує інтеграцію з іншими інструментами та системами. Функція експорту дозволяє налаштувати дані, включені в звіти, що дозволяє фільтрувати висновки на основі конкретних критеріїв, таких як серйозність, тип ресурсу або діапазон дат, і за замовчуванням включати всі ваші висновки в поточному регіоні AWS зі статусом Active.
При експорті висновків необхідний ключ служби управління ключами (KMS) для шифрування даних під час експорту. Ключі KMS забезпечують захист експортованих висновків від несанкціонованого доступу, надаючи додатковий рівень безпеки для чутливої інформації про вразливості.
Amazon Inspector пропонує надійні можливості сканування для екземплярів Amazon EC2 для виявлення вразливостей та проблем безпеки. Inspector порівнює витягнуті метадані з екземпляра EC2 з правилами з безпекових рекомендацій, щоб виявити вразливості пакетів та проблеми з досяжністю мережі. Ці сканування можуть виконуватися через агентні або безагентні методи, залежно від налаштувань режиму сканування вашого облікового запису.
Agent-Based: Використовує агент AWS Systems Manager (SSM) для проведення глибоких сканувань. Цей метод дозволяє здійснювати всебічний збір та аналіз даних безпосередньо з екземпляра.
Agentless: Надає легкий альтернативний варіант, який не вимагає встановлення агента на екземплярі, створюючи знімок EBS кожного тому екземпляра EC2, шукаючи вразливості, а потім видаляючи його; використовуючи існуючу інфраструктуру AWS для сканування.
Режим сканування визначає, який метод буде використано для виконання сканувань EC2:
Agent-Based: Включає встановлення агента SSM на екземплярах EC2 для глибокої перевірки.
Hybrid Scanning: Поєднує як агентні, так і безагентні методи для максимального охоплення та мінімізації впливу на продуктивність. У тих екземплярах EC2, де встановлено агент SSM, Inspector виконає агентне сканування, а для тих, де немає агента SSM, сканування буде безагентним.
Ще одна важлива функція - це глибока перевірка для екземплярів Linux EC2. Ця функція пропонує всебічний аналіз програмного забезпечення та конфігурації екземплярів Linux EC2, надаючи детальні оцінки вразливостей, включаючи вразливості операційної системи, вразливості додатків та неправильні налаштування, забезпечуючи комплексну оцінку безпеки. Це досягається шляхом перевірки кастомних шляхів та всіх його підкаталогів. За замовчуванням Amazon Inspector сканує наступні, але кожен обліковий запис може визначити до 5 додаткових кастомних шляхів, а кожен делегований адміністратор - до 10:
/usr/lib
/usr/lib64
/usr/local/lib
/usr/local/lib64
Amazon Inspector надає надійні можливості сканування для образів контейнерів Amazon Elastic Container Registry (ECR), забезпечуючи виявлення та ефективне управління вразливостями пакетів.
Basic Scanning: Це швидке та легке сканування, яке виявляє відомі вразливості ОС пакетів в образах контейнерів, використовуючи стандартний набір правил з проекту з відкритим кодом Clair. З цією конфігурацією сканування ваші репозиторії будуть скануватися при завантаженні або виконанні ручних сканувань.
Enhanced Scanning: Ця опція додає функцію безперервного сканування на додаток до сканування при завантаженні. Розширене сканування заглиблюється в шари кожного образу контейнера, щоб виявити вразливості в пакетах ОС та в пакетах мов програмування з більшою точністю. Воно аналізує як базовий образ, так і будь-які додаткові шари, надаючи всебічний огляд потенційних проблем безпеки.
Amazon Inspector включає всебічні можливості сканування для функцій AWS Lambda та їх шарів, забезпечуючи безпеку та цілісність безсерверних додатків. Inspector пропонує два типи сканування для функцій Lambda:
Lambda standard scanning: Ця стандартна функція виявляє вразливості програмного забезпечення в залежностях пакета додатка, доданих до вашої функції Lambda та шарів. Наприклад, якщо ваша функція використовує версію бібліотеки, такої як python-jwt, з відомою вразливістю, вона генерує висновок.
Lambda code scanning: Аналізує кастомний код додатка на предмет проблем безпеки, виявляючи вразливості, такі як вразливості ін'єкцій, витоки даних, слабке шифрування та відсутнє шифрування. Він захоплює фрагменти коду, підкреслюючи виявлені вразливості, такі як закодовані в коді облікові дані. Висновки включають детальні рекомендації щодо усунення та фрагменти коду для виправлення проблем.
Amazon Inspector включає сканування CIS для оцінки операційних систем екземплярів Amazon EC2 відповідно до рекомендацій кращих практик від Центру безпеки Інтернету (CIS). Ці сканування забезпечують дотримання конфігурацій стандартам безпеки галузі.
Configuration: Сканування CIS оцінює, чи відповідають системні конфігурації конкретним рекомендаціям CIS Benchmark, при цьому кожна перевірка пов'язана з ID перевірки CIS та заголовком.
Execution: Сканування виконуються або плануються на основі тегів екземпляра та визначених графіків.
Results: Результати після сканування вказують, які перевірки пройшли, були пропущені або провалені, надаючи уявлення про безпекову позицію кожного екземпляра.
З точки зору атакуючого, цей сервіс може допомогти атакуючому знайти вразливості та мережеві експозиції, які можуть допомогти йому скомпрометувати інші екземпляри/контейнери.
Однак, атакуючий також може бути зацікавлений у порушенні цього сервісу, щоб жертва не могла бачити вразливості (всі або конкретні).
inspector2:CreateFindingsReport, inspector2:CreateSBOMReportАтакуючий може згенерувати детальні звіти про вразливості або рахунки на програмне забезпечення (SBOM) та ексфільтрувати їх з вашого середовища AWS. Цю інформацію можна використати для виявлення конкретних слабкостей, застарілого програмного забезпечення або небезпечних залежностей, що дозволяє здійснювати цілеспрямовані атаки.
Приклад нижче показує, як ексфільтрувати всі активні знахідки з Amazon Inspector до контролюваного атакуючим Amazon S3 Bucket з контролюваним атакуючим Amazon KMS ключем:
Створіть Amazon S3 Bucket і прикріпіть до нього політику, щоб він був доступний з жертви Amazon Inspector:
Створіть ключ Amazon KMS та прикріпіть до нього політику, щоб він міг використовуватися Amazon Inspector жертви:
Виконайте команду для створення звіту про знахідки, ексфільтруючи його:
Потенційний вплив: Генерація та ексфільтрація детальних звітів про вразливості та програмне забезпечення, отримання інформації про конкретні вразливості та слабкі місця в безпеці.
inspector2:CancelFindingsReport, inspector2:CancelSbomExportЗловмисник може скасувати генерацію вказаного звіту про вразливості або звіту SBOM, що заважає командам безпеки отримувати своєчасну інформацію про вразливості та рахунок програмного забезпечення (SBOM), затримуючи виявлення та усунення проблем безпеки.
Potential Impact: Порушення моніторингу безпеки та запобігання своєчасному виявленню та усуненню проблем безпеки.
inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilterЗловмисник з цими дозволами зможе маніпулювати правилами фільтрації, які визначають, які вразливості та проблеми безпеки повідомляються або подавляються (якщо action встановлено на SUPPRESS, буде створено правило подавлення). Це може приховати критичні вразливості від адміністраторів безпеки, що полегшує експлуатацію цих слабкостей без виявлення. Змінюючи або видаляючи важливі фільтри, зловмисник також може створити шум, заповнюючи систему нерелевантними знахідками, що заважає ефективному моніторингу безпеки та реагуванню.
Потенційний вплив: Приховування або подавлення критичних вразливостей, або заповнення системи нерелевантними знахідками.
inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)Зловмисник може суттєво порушити структуру управління безпекою.
Вимкнувши делегований обліковий запис адміністратора, зловмисник може завадити команді безпеки отримувати доступ до налаштувань та звітів Amazon Inspector.
Увімкнення несанкціонованого облікового запису адміністратора дозволить зловмиснику контролювати конфігурації безпеки, потенційно вимикаючи сканування або змінюючи налаштування для приховування шкідливої діяльності.
Необхідно, щоб несанкціонований обліковий запис був в тій же Організації, що й жертва, щоб стати делегованим адміністратором.
Для того, щоб несанкціонований обліковий запис став делегованим адміністратором, також необхідно, щоб після вимкнення легітимного делегованого адміністратора, і перед увімкненням несанкціонованого облікового запису як делегованого адміністратора, легітимний адміністратор повинен бути виключений як делегований адміністратор з організації. Це можна зробити за допомогою наступної команди (organizations:DeregisterDelegatedAdministrator потрібен дозвіл): aws organizations deregister-delegated-administrator --account-id <legit-account-id> --service-principal [inspector2.amazonaws.com](http://inspector2.amazonaws.com/)
Потенційний вплив: Порушення управління безпекою.
inspector2:AssociateMember, inspector2:DisassociateMemberЗловмисник може маніпулювати асоціацією облікових записів учасників в організації Amazon Inspector. Асуючи несанкціоновані облікові записи або від'єднуючи легітимні, зловмисник може контролювати, які облікові записи включені в перевірки безпеки та звітність. Це може призвести до виключення критичних облікових записів з моніторингу безпеки, що дозволяє зловмиснику експлуатувати вразливості в цих облікових записах без виявлення.
Цю дію потрібно виконувати делегованим адміністратором.
Potential Impact: Виняток ключових облікових записів з перевірок безпеки, що дозволяє непомічене використання вразливостей.
inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)Зловмисник з дозволом inspector2:Disable зможе вимкнути перевірки безпеки для конкретних типів ресурсів (EC2, ECR, Lambda, код Lambda) для зазначених облікових записів, залишаючи частини середовища AWS без нагляду та вразливими до атак. Крім того, маючи дозволи inspector2:Enable та iam:CreateServiceLinkedRole, зловмисник зможе повторно ввімкнути перевірки вибірково, щоб уникнути виявлення підозрілих конфігурацій.
Цю дію потрібно виконати делегованим адміністратором.
Потенційний вплив: Створення сліпих зон у моніторингу безпеки.
inspector2:UpdateOrganizationConfigurationЗловмисник з цим дозволом зможе оновити конфігурації для вашої організації Amazon Inspector, що вплине на стандартні функції сканування, увімкнені для нових облікових записів учасників.
Цю дію потрібно виконати делегованим адміністратором.
Потенційний вплив: Змінити політики та конфігурації безпеки для організації.
inspector2:TagResource, inspector2:UntagResourceЗловмисник може маніпулювати тегами на ресурсах AWS Inspector, які є критично важливими для організації, відстеження та автоматизації оцінок безпеки. Змінюючи або видаляючи теги, зловмисник може потенційно приховати вразливості від сканувань безпеки, порушити звітність про відповідність і заважати автоматизованим процесам виправлення, що призведе до неконтрольованих проблем з безпекою та порушення цілісності системи.
Potential Impact: Приховування вразливостей, порушення звітності про відповідність, порушення автоматизації безпеки та порушення розподілу витрат.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
