AWS - Apigateway Privesc
Apigateway
Für weitere Informationen siehe:
pageAWS - API Gateway Enumapigateway:POST
apigateway:POST
Mit dieser Berechtigung können Sie API-Schlüssel der konfigurierten APIs generieren (pro Region).
Potenzielle Auswirkungen: Mit dieser Technik können Sie keine Privilegien eskalieren, aber Sie könnten Zugriff auf sensible Informationen erhalten.
apigateway:GET
apigateway:GET
Mit dieser Berechtigung können Sie generierte API-Schlüssel der konfigurierten APIs abrufen (pro Region).
Potenzielle Auswirkungen: Mit dieser Technik können Sie keine Privilegien eskalieren, aber Sie könnten Zugriff auf sensible Informationen erhalten.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Mit diesen Berechtigungen ist es möglich, die Ressourcenrichtlinie einer API zu ändern, um sich selbst Zugriff zu geben, um sie aufzurufen und potenziellen Zugriff auf das API-Gateway zu missbrauchen (zum Beispiel das Aufrufen einer anfälligen Lambda-Funktion).
Potenzielle Auswirkungen: In der Regel können Sie mit dieser Technik nicht direkt eine Privilege Escalation durchführen, aber Sie könnten Zugriff auf sensible Informationen erhalten.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Benötigt Tests
Ein Angreifer mit den Berechtigungen apigateway:PutIntegration
, apigateway:CreateDeployment
und iam:PassRole
kann eine neue Integration zu einer vorhandenen API Gateway REST-API mit einer Lambda-Funktion hinzufügen, die über eine angehängte IAM-Rolle verfügt. Der Angreifer kann dann die Lambda-Funktion auslösen, um beliebigen Code auszuführen und möglicherweise Zugriff auf die Ressourcen zu erlangen, die mit der IAM-Rolle verbunden sind.
Potenzielle Auswirkungen: Zugriff auf Ressourcen, die mit der IAM-Rolle der Lambda-Funktion verbunden sind.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Erfordert Tests
Ein Angreifer mit den Berechtigungen apigateway:UpdateAuthorizer
und apigateway:CreateDeployment
kann einen vorhandenen API Gateway-Autorisierer ändern, um Sicherheitsüberprüfungen zu umgehen oder beliebigen Code auszuführen, wenn API-Anfragen gestellt werden.
Potenzielle Auswirkungen: Umgehung von Sicherheitsüberprüfungen, unbefugter Zugriff auf API-Ressourcen.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Muss getestet werden
Ein Angreifer mit der Berechtigung apigateway:UpdateVpcLink
kann einen vorhandenen VPC-Link ändern, um auf einen anderen Network Load Balancer zu verweisen, der möglicherweise den privaten API-Verkehr auf unbefugte oder bösartige Ressourcen umleitet.
Potenzielle Auswirkungen: Unbefugter Zugriff auf private API-Ressourcen, Abfangen oder Störung des API-Verkehrs.
Last updated