AWS - EFS Privesc
EFS
Weitere Informationen zu EFS unter:
pageAWS - EFS EnumDenken Sie daran, dass Sie zum Einhängen eines EFS in einem Subnetz sein müssen, in dem das EFS freigegeben ist und Zugriff darauf haben (Sicherheitsgruppen). Wenn dies der Fall ist, können Sie es standardmäßig immer einhängen. Wenn es jedoch durch IAM-Richtlinien geschützt ist, müssen Sie die hier erwähnten zusätzlichen Berechtigungen haben, um darauf zuzugreifen.
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
Mit einer dieser Berechtigungen kann ein Angreifer die Dateisystemrichtlinie ändern, um Ihnen den Zugriff darauf zu gewähren, oder sie einfach löschen, damit der Standardzugriff gewährt wird.
Um die Richtlinie zu löschen:
Um es zu ändern:
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
Mit dieser Berechtigung kann ein Angreifer das EFS einbinden. Wenn die Schreibberechtigung nicht standardmäßig für alle erteilt wird, die das EFS einbinden können, hat er nur Lesezugriff.
Die zusätzlichen Berechtigungen elasticfilesystem:ClientRootAccess
und elasticfilesystem:ClientWrite
können verwendet werden, um innerhalb des Dateisystems zu schreiben, nachdem es eingehängt wurde, und um auf dieses Dateisystem als Root zuzugreifen.
Mögliche Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen im Dateisystem.
elasticfilesystem:CreateMountTarget
elasticfilesystem:CreateMountTarget
Wenn ein Angreifer sich in einem Teilnetzwerk befindet, in dem kein Mount-Ziel des EFS existiert, könnte er einfach eines in seinem Subnetz erstellen mit dieser Berechtigung:
Potenzielle Auswirkungen: Indirekte Privilege Escalation durch Auffinden sensibler Informationen im Dateisystem.
elasticfilesystem:ModifyMountTargetSecurityGroups
elasticfilesystem:ModifyMountTargetSecurityGroups
In einem Szenario, in dem ein Angreifer feststellt, dass das EFS ein Mount-Ziel in seinem Subnetz hat, aber keine Sicherheitsgruppe den Datenverkehr zulässt, könnte er einfach diese ändern, indem er die ausgewählten Sicherheitsgruppen modifiziert:
Potenzielle Auswirkungen: Indirekte Privilege Escalation durch Auffinden sensibler Informationen im Dateisystem.
Last updated