AWS - Firewall Manager Enum

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Firewall Bestuurder

AWS Firewall Bestuurder stroomlyn die bestuur en instandhouding van AWS WAF, AWS Shield Advanced, Amazon VPC-sekuriteitsgroepe en Netwerk Toegangsbeheerlyste (ACL's), en AWS Netwerkfirewall, AWS Route 53 Resolver DNS-firewall en derdeparty-firewalls oor verskeie rekeninge en bronne. Dit stel jou in staat om jou firewall-reëls, Shield Advanced beskermings, VPC-sekuriteitsgroepe, en Netwerkfirewall-instellings net een keer te konfigureer, met die diens wat hierdie reëls en beskermings outomaties afdwing oor jou rekeninge en bronne, insluitend nuut bygevoegde eenhede.

Die diens bied die vermoë om spesifieke bronne saam te groepeer en te beskerm, soos dié wat 'n gemeenskaplike etiket deel of al jou CloudFront-verspreidings. 'n Beduidende voordeel van Firewall Bestuurder is sy vermoë om beskerming outomaties uit te brei na nuut bygevoegde bronne in jou rekening.

'n reëlsgroep ( 'n versameling WAF-reëls) kan ingesluit word in 'n AWS Firewall Bestuurderbeleid, wat dan gekoppel word aan spesifieke AWS-bronne soos CloudFront-verspreidings of aansoekbelansers.

AWS Firewall Bestuurder bied bestuurde aansoek- en protokol-lyste om die konfigurasie en bestuur van sekuriteitsgroepebeleide te vereenvoudig. Hierdie lyste maak dit moontlik om die protokolle en aansoeke wat toegelaat of ontken word deur jou beleide te definieer. Daar is twee soorte bestuurde lyste:

  • Firewall Bestuurder bestuurde lyste: Hierdie lyste sluit in FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed en FMS-Default-Protocols-Allowed. Hulle word bestuur deur Firewall Bestuurder en sluit algemeen gebruikte aansoeke en protokolle in wat aan die algemene publiek toegelaat of ontken moet word. Dit is nie moontlik om hulle te wysig of te verwyder nie, maar jy kan sy weergawe kies.

  • Aangepaste bestuurde lyste: Jy bestuur hierdie lyste self. Jy kan aangepaste aansoek- en protokol-lyste skep wat aangepas is aan jou organisasie se behoeftes. In teenstelling met Firewall Bestuurder bestuurde lyste het hierdie lyste nie weergawes nie, maar jy het volle beheer oor aangepaste lyste, wat jou in staat stel om hulle te skep, wysig, en verwyder soos vereis.

Dit is belangrik om te let dat Firewall Bestuurderbeleide slegs "Blok" of "Tel" aksies toelaat vir 'n reëlsgroep, sonder 'n "Toelaat" opsie.

Vereistes

Die volgende voorvereiste stappe moet voltooi word voordat voortgegaan word om Firewall Bestuurder te konfigureer om jou organisasie se bronne doeltreffend te beskerm. Hierdie stappe voorsien die fundamentele opstelling wat vereis word vir Firewall Bestuurder om sekuriteitsbeleide af te dwing en te verseker dat nakoming oor jou AWS-omgewing gehandhaaf word:

  1. Sluit aan en konfigureer AWS-organisasies: Verseker dat jou AWS-rekening deel is van die AWS-organisasie waar die AWS Firewall Bestuurderbeleide beplan word om geïmplementeer te word. Dit maak dit moontlik vir gesentraliseerde bestuur van bronne en beleide oor verskeie AWS-rekeninge binne die organisasie.

  2. Skep 'n AWS Firewall Bestuurder Standaard Administrateursrekening: Stel 'n standaard administrateursrekening op spesifiek vir die bestuur van Firewall Bestuurder-sekuriteitsbeleide. Hierdie rekening sal verantwoordelik wees vir die konfigurasie en afdwinging van sekuriteitsbeleide oor die organisasie. Net die bestuursrekening van die organisasie kan Firewall Bestuurder standaard administrateursrekeninge skep.

  3. Aktiveer AWS Config: Aktiveer AWS Config om Firewall Bestuurder te voorsien van die nodige konfigurasiedata en insigte wat vereis word om sekuriteitsbeleide doeltreffend af te dwing. AWS Config help om hulpbrondkonfigurasies en -veranderings te analiseer, oudit, monitor en oudit, wat beter sekuriteitsbestuur fasiliteer.

  4. Vir Derdepartybeleide, Skryf in op die AWS Marketplace en Konfigureer Derdepartyinstellings: As jy van plan is om derdeparty-firewallbeleide te gebruik, skryf jy in daarop in die AWS Marketplace en konfigureer die nodige instellings. Hierdie stap verseker dat Firewall Bestuurder kan integreer en beleide van vertroude derdeparty-leweransiers kan afdwing.

  5. Vir Netwerkfirewall en DNS-firewallbeleide, aktiveer hulpbron-deling: Aktiveer hulpbron-deling spesifiek vir Netwerkfirewall en DNS-firewallbeleide. Dit maak dit moontlik vir Firewall Bestuurder om firewallbeskerming toe te pas op jou organisasie se VPC's en DNS-resolusie, wat netwerksekuriteit verbeter.

  6. Om AWS Firewall Bestuurder in streke te gebruik wat standaard deaktiveer is: As jy van plan is om Firewall Bestuurder in AWS-streke te gebruik wat standaard deaktiveer is, verseker dat jy die nodige stappe neem om sy funksionaliteit in daardie streke te aktiveer. Dit verseker konsekwente sekuriteitsafdwinging oor alle streke waar jou organisasie bedryf.

Vir meer inligting, kyk na: Aan die gang met AWS Firewall Bestuurder AWS WAF-beleide.

Tipes beskermingsbeleide

AWS Firewall Bestuurder bestuur verskeie tipes beleide om sekuriteitsbeheer oor verskillende aspekte van jou organisasie se infrastruktuur af te dwing:

  1. AWS WAF-beleid: Hierdie beleidstipe ondersteun beide AWS WAF en AWS WAF Classic. Jy kan definieer watter bronne beskerm word deur die beleid. Vir AWS WAF-beleide kan jy stelle reëlsgroepe spesifiseer om eerste en laaste in die web ACL uit te voer. Daarbenewens kan rekening eienaars reëls en reëlsgroepe byvoeg om tussen hierdie stelle uit te voer.

  2. Shield Advanced-beleid: Hierdie beleid pas Shield Advanced-beskerming toe oor jou organisasie vir gespesifiseerde soort bronne. Dit help om teen DDoS-aanvalle en ander bedreigings te beskerm.

  3. Amazon VPC-sekuriteitsgroepebeleid: Met hierdie beleid kan jy sekuriteitsgroepe bestuur wat deur jou organisasie gebruik word, en 'n basisstel reëls af dwing oor jou AWS-omgewing om netwerktoegang te beheer.

  4. Amazon VPC Netwerk Toegangsbeheerlys (ACL) Beleid: Hierdie beleidstipe gee jou beheer oor netwerk ACL's wat in jou organisasie gebruik word, wat jou in staat stel om 'n basisstel netwerk ACL's af te dwing oor jou AWS-omgewing.

  5. Netwerkfirewallbeleid: Hierdie beleid pas AWS Netwerkfirewallbeskerming toe op jou organisasie se VPC's, wat netwerksekuriteit verbeter deur verkeer te filtreer op voorafbepaalde reëls.

  6. Amazon Route 53 Resolver DNS-firewallbeleid: Hierdie beleid pas DNS-firewallbeskerming toe op jou organisasie se VPC's, wat help om bose domeinresolusiepogings te blok en sekuriteitsbeleide vir DNS-verkeer af te dwing.

  7. Derdeparty-firewallbeleid: Hierdie beleidstipe pas beskerming van derdeparty-firewalls toe, wat beskikbaar is deur intekening deur die AWS Marketplace-konsole. Dit stel jou in staat om addisionele sekuriteitsmaatreëls van vertroude verskaffers in jou AWS-omgewing te integreer.

  8. Palo Alto Networks Cloud NGFW-beleid: Hierdie beleid pas Palo Alto Networks Cloud Next Generation Firewall (NGFW) beskerming en reëlstelsels toe op jou organisasie se VPC's, wat gevorderde dreigingsvoorkoming en toepassingsvlak-sekuriteitsbeheer bied.

  9. Fortigate Cloud Native Firewall (CNF) as 'n Diensbeleid: Hierdie beleid pas Fortigate Cloud Native Firewall (CNF) as 'n Diensbeskerming toe, wat toonaangewende dreigingsvoorkoming, webtoepassingsfirewall (WAF), en API-beskerming bied wat op maat gemaak is vir wolk-infrastrukture.

Administrateursrekeninge

AWS Firewall Manager bied buigsaamheid in die bestuur van vuurmuurbronne binne jou organisasie deur sy administratiewe omvang en twee tipes administrateursrekeninge.

Administratiewe omvang definieer die bronne wat 'n Firewall Manager-administrator kan bestuur. Nadat 'n AWS Organisasies-bestuursrekening 'n organisasie na Firewall Manager aanboord, kan dit addisionele administrateurs met verskillende administratiewe omvang skep. Hierdie omvang kan insluit:

  • Rekeninge of organisatoriese eenhede (OUs) waarop die administrateur beleide kan toepas.

  • Streke waar die administrateur aksies kan uitvoer.

  • Firewall Manager-beleidstipes wat die administrateur kan bestuur.

Administratiewe omvang kan óf volledig óf beperk wees. Volledige omvang verleen die administrateur toegang tot alle gespesifiseerde brontipes, streke en beleidstipes. Daarteenoor bied beperkte omvang administratiewe toestemming slegs vir 'n subset van bronne, streke of beleidstipes. Dit is raadsaam om administrateurs slegs die toestemmings te verleen wat hulle nodig het om hul rolle doeltreffend te vervul. Jy kan enige kombinasie van hierdie administratiewe omvangtoestande op 'n administrateur toepas om te verseker dat die beginsel van die minste bevoorregting nagekom word.

Daar is twee duidelike tipes administrateursrekeninge, elk met spesifieke rolle en verantwoordelikhede:

  • Verstekadministrateur:

  • Die verstekadministrateursrekening word geskep deur die AWS Organisasies-organisasie se bestuursrekening tydens die aanboordproses na Firewall Manager.

  • Hierdie rekening het die vermoë om derdeparty-vuurmuure te bestuur en beskik oor volledige administratiewe omvang.

  • Dit dien as die primêre administrateursrekening vir Firewall Manager, verantwoordelik vir die konfigurasie en afdwinging van sekuriteitsbeleide regoor die organisasie.

  • Terwyl die verstekadministrateur volle toegang tot alle brontipes en administratiewe funksionaliteite het, werk dit op dieselfde peer-vlak as ander administrateurs indien meervoudige administrateurs binne die organisasie gebruik word.

  • Firewall Manager-administrateurs:

  • Hierdie administrateurs kan bronne binne die omvang wat deur die AWS Organisasies-bestuursrekening aangedui is, bestuur, soos gedefinieer deur die administratiewe omvangkonfigurasie.

  • Firewall Manager-administrateurs word geskep om spesifieke rolle binne die organisasie te vervul, wat die delegasie van verantwoordelikhede moontlik maak terwyl sekuriteits- en nakomingsstandaarde gehandhaaf word.

  • By skepping kontroleer Firewall Manager met AWS Organisasies om te bepaal of die rekening reeds 'n gedelegeerde administrateur is. Indien nie, skakel Firewall Manager Organisasies in om die rekening as 'n gedelegeerde administrateur vir Firewall Manager aan te dui.

Die bestuur van hierdie administrateursrekeninge behels die skep daarvan binne Firewall Manager en die definisie van hul administratiewe omvang volgens die organisasie se sekuriteitsvereistes en die beginsel van die minste bevoorregting. Deur toepaslike administratiewe rolle toe te ken, kan organisasies doeltreffende sekuriteitsbestuur verseker terwyl hulle fyn beheer behou oor toegang tot sensitiewe bronne.

Dit is belangrik om te beklemtoon dat slegs een rekening binne 'n organisasie as die Firewall Manager-verstekadministrateur kan dien, deur die beginsel van "eerste in, laaste uit" na te kom. Om 'n nuwe verstekadministrateur aan te dui, moet 'n reeks stappe gevolg word:

  • Eerstens moet elke Firewall-administrateursrekening sy eie rekening herroep.

  • Dan kan die bestaande verstekadministrateur sy eie rekening herroep, wat effektief die organisasie van Firewall Manager afboord. Hierdie proses lei tot die skrapping van alle Firewall Manager-beleide wat deur die herroepende rekening geskep is.

  • Ten slotte moet die AWS Organisasies-bestuursrekening die Firewall Manager-verstekadministrateur aanwys.

Enumerasie

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Na-eksploitasi / Verbyf Deteksie

organizations:BeskryfOrganisasie & (fms:KoppelAdminRekening, fms:OntkoppelAdminRekening, fms:PlaasAdminRekening)

'n Aanvaller met die fms:KoppelAdminRekening-permissie sou in staat wees om die standaard administrateursrekening van die Vuurwalbestuurder in te stel. Met die fms:PlaasAdminRekening-permissie sou 'n aanvaller in staat wees om 'n Vuurwalbestuurder-administrateursrekening te skep of by te werk en met die fms:OntkoppelAdminRekening-permissie sou 'n potensiële aanvaller die huidige Vuurwalbestuurder-administrateursrekeningkoppelings kan verwyder.

  • Die ontkoppeling van die Vuurwalbestuurder se standaardadministrateur volg die eerste-in-laat-uit-beleid. Al die Vuurwalbestuurders moet ontkoppel voordat die Vuurwalbestuurder se standaardadministrateur die rekening kan ontkoppel.

  • Ten einde 'n Vuurwalbestuurder-administrateur te skep deur PlaasAdminRekening, moet die rekening behoort aan die organisasie wat voorheen aan boord gebring is by die Vuurwalbestuurder deur KoppelAdminRekening te gebruik.

  • Die skepping van 'n Vuurwalbestuurder-administrateursrekening kan slegs gedoen word deur die bestuursrekening van die organisasie.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potensiële Impak: Verlies van gesentraliseerde bestuur, beleid ontduiking, nie-nakoming van regulasies, en ontwrigting van sekuriteitsbeheer binne die omgewing.

fms:PutPolicy, fms:DeletePolicy

'n Aanvaller met die fms:PutPolicy, fms:DeletePolicy toestemmings sal in staat wees om 'n AWS Firewall Manager beleid te skep, wysig of permanent te verwyder.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

'n Voorbeeld van 'n toegeeflike beleid deur 'n toegeeflike sekuriteitsgroep, om die opsporing te omseil, kan die volgende wees:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potensiële Impak: Afbraak van sekuriteitsbeheer, beleidsonderduiking, oortreding van nakomings, operasionele ontwrigtings, en potensiële data-oortredings binne die omgewing.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

'n Aanvaller met die fms:BatchAssociateResource en fms:BatchDisassociateResource toestemmings sal in staat wees om onderskeidelik hulpbronne te assosieer of te dissosieer van 'n Firewall-bestuurderhulpbronstel. Daarbenewens sal die fms:PutResourceSet en fms:DeleteResourceSet toestemmings 'n aanvaller in staat stel om hierdie hulpbronstelle te skep, te wysig of te verwyder vanaf AWS Firewall-bestuurder.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potensiële Impak: Die toevoeging van 'n onnodige hoeveelheid items tot 'n hulpbronstel sal die vlak van geraas in die Diens moontlik verhoog en 'n DoS veroorsaak. Daarbenewens kan veranderinge aan die hulpbronstelle lei tot 'n hulpbronontwrigting, beleidontduiking, oortreding van nakomings en ontwrigting van sekuriteitsbeheer binne die omgewing.

fms:PutAppsList, fms:DeleteAppsList

'n Aanvaller met die fms:PutAppsList en fms:DeleteAppsList-permissies sal in staat wees om aansoeklys te skep, wysig of verwyder vanaf AWS Firewall-bestuurder. Dit kan krities wees, aangesien ongemagtigde aansoeke toegang tot die algemene publiek kan kry, of toegang tot gemagtigde aansoeke ontken kan word, wat 'n DoS kan veroorsaak.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potensiële Impak: Dit kan lei tot verkeerde konfigurasies, beleid ontduiking, oortreding van nakomingsvereistes, en ontwrigting van sekuriteitsbeheer binne die omgewing.

fms:PutProtocolsList, fms:DeleteProtocolsList

'n Aanvaller met die fms:PutProtocolsList en fms:DeleteProtocolsList regte sal in staat wees om protokol-lyste te skep, wysig of verwyder vanaf AWS Firewall Manager. Net soos met aansoeklyste, kan dit krities wees aangesien ongemagtigde protokolle deur die algemene publiek gebruik kan word, of die gebruik van gemagtigde protokolle ontken kan word, wat 'n DoS kan veroorsaak.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potensiële Impak: Dit kan lei tot verkeerde konfigurasies, beleidontduiking, nie-nakoming van regulasies, en ontwrigting van sekuriteitsbeheer binne die omgewing.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

'n Aanvaller met die fms:PutNotificationChannel en fms:DeleteNotificationChannel regte sal in staat wees om die IAM rol en Amazon Simple Notification Service (SNS) onderwerp wat Firewall Manager gebruik om SNS-logte te registreer, te verwyder en aan te wys.

Om fms:PutNotificationChannel buite die konsole te gebruik, moet jy die toegangbeleid van die SNS-onderwerp opstel, wat die gespesifiseerde SnsRoleName toelaat om SNS-logte te publiseer. As die voorsiene SnsRoleName 'n rol anders as die AWSServiceRoleForFMS is, vereis dit 'n vertrouensverhouding wat ingestel is om die Firewall Manager-diensprinsipeel fms.amazonaws.com toe te laat om hierdie rol aan te neem.

Vir inligting oor die opstel van 'n SNS-toegangbeleid:

https://github.com/HackTricks-wiki/hacktricks-cloud/blob/af/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.md
aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potensiële Impak: Dit kan moontlik lei tot gemiste sekuriteitswaarskuwings, vertraagde insidentreaksie, potensiële data-oortredings en operasionele ontwrigting binne die omgewing.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

'n Aanvaller met die fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall-permissies sal in staat wees om derdeparty-firewalls te assosieer of te dissosieer wat sentraal deur AWS Firewall Manager bestuur word.

Slegs die verstek-administrateur kan derdeparty-firewalls skep en bestuur.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potensiële Impak:** Die ontbinding sal lei tot 'n beleidontduiking, oortreding van nakomings en ontwrigting van sekuriteitsbeheer binne die omgewing. Die assosiasie aan die ander kant sal lei tot 'n ontwrigting van koste- en begrotings-toewysing.

fms:TagResource, fms:UntagResource

'n Aanvaller sal in staat wees om etikette by Firewall Manager-bronne by te voeg, te wysig, of te verwyder, wat jou organisasie se koste-toewysing, hulpbron-opsporing, en toegangsbeheerbeleid gebaseer op etikette kan ontwrig.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potensiële Impak: Onderbreking van koste-toewysing, hulpbron-opsporing, en tag-gebaseerde toegangsbeheer beleid.

Verwysings

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated