MQ

Für weitere Informationen zu MQ siehe:

mq:ListBrokers, mq:CreateUser

Mit diesen Berechtigungen können Sie einen neuen Benutzer in einem ActimeMQ-Broker erstellen (dies funktioniert nicht bei RabbitMQ):

aws mq list-brokers
aws mq create-user --broker-id <value> --console-access --password <value> --username <value>

Potenzielle Auswirkungen: Zugriff auf sensible Informationen durch Navigieren durch ActiveMQ

mq:ListBrokers, mq:ListUsers, mq:UpdateUser

Mit diesen Berechtigungen können Sie einen neuen Benutzer in einem ActimeMQ-Broker erstellen (dies funktioniert nicht bei RabbitMQ):

aws mq list-brokers
aws mq list-users --broker-id <value>
aws mq update-user --broker-id <value> --console-access --password <value> --username <value>

Potenzielle Auswirkungen: Zugriff auf sensible Informationen durch Navigieren durch ActiveMQ

mq:ListBrokers, mq:UpdateBroker

Wenn ein Broker LDAP zur Autorisierung mit ActiveMQ verwendet, ist es möglich, die Konfiguration des LDAP-Servers zu ändern, der von dem Angreifer kontrolliert wird. Auf diese Weise kann der Angreifer alle Anmeldeinformationen stehlen, die über LDAP gesendet werden.

aws mq list-brokers
aws mq update-broker --broker-id <value> --ldap-server-metadata=...

Wenn Sie die ursprünglichen Anmeldeinformationen von ActiveMQ finden könnten, könnten Sie einen MitM durchführen, die Anmeldeinformationen stehlen, sie im Originalserver verwenden und die Antwort senden (vielleicht könnten Sie dies einfach tun, indem Sie die gestohlenen Anmeldeinformationen wiederverwenden).

Potenzielle Auswirkungen: Anmeldeinformationen von ActiveMQ stehlen