AWS - ECR Enum

ECR

Grundlegende Informationen

Amazon Elastic Container Registry (Amazon ECR) ist ein verwalteter Container-Image-Registrierungsdienst. Er wurde entwickelt, um eine Umgebung bereitzustellen, in der Kunden mit ihren Container-Images über bekannte Schnittstellen interagieren können. Insbesondere wird die Verwendung der Docker CLI oder eines bevorzugten Clients unterstützt, um Aktivitäten wie das Pushen, Pullen und Verwalten von Container-Images zu ermöglichen.

ECR besteht aus 2 Arten von Objekten: Registrierungen und Repositories.

Registrierungen

Jedes AWS-Konto hat 2 Registrierungen: Privat & Öffentlich.

1. Private Registrierungen:

• Standardmäßig privat: Die in einem Amazon ECR-Privatregister gespeicherten Container-Images sind nur für autorisierte Benutzer innerhalb Ihres AWS-Kontos oder für diejenigen zugänglich, denen Berechtigungen erteilt wurden.

• Die URI eines privaten Repositorys folgt dem Format <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Zugriffskontrolle: Sie können den Zugriff auf Ihre privaten Container-Images mithilfe von IAM-Richtlinien steuern und fein abgestimmte Berechtigungen basierend auf Benutzern oder Rollen konfigurieren.

• Integration mit AWS-Diensten: Amazon ECR-Privatregister können problemlos mit anderen AWS-Diensten wie EKS, ECS... integriert werden.

• Weitere Optionen für private Registrierungen:

• Die Spalte Tag-Unveränderlichkeit zeigt ihren Status an. Wenn die Tag-Unveränderlichkeit aktiviert ist, wird das Überschreiben von Bildern durch Pushes mit vorhandenen Tags verhindert.

• Die Spalte Verschlüsselungstyp listet die Verschlüsselungseigenschaften des Repositorys auf. Sie zeigt die Standardverschlüsselungstypen wie AES-256 oder hat Verschlüsselungen mit aktiviertem KMS.

• Die Spalte Pull-Through-Cache zeigt ihren Status an. Wenn der Status des Pull-Through-Caches aktiv ist, werden Repositories in einem externen öffentlichen Repository in Ihr privates Repository zwischengespeichert.

• Es können spezifische IAM-Richtlinien konfiguriert werden, um unterschiedliche Berechtigungen zu erteilen.

• Die Scanning-Konfiguration ermöglicht das Scannen nach Schwachstellen in den im Repository gespeicherten Bildern.

2. Öffentliche Registrierungen:

• Öffentliche Zugänglichkeit: Container-Images, die in einem ECR-Public-Register gespeichert sind, sind für jeden im Internet ohne Authentifizierung zugänglich.

• Die URI eines öffentlichen Repositorys lautet wie public.ecr.aws/<random>/<name>. Obwohl der Teil <random> vom Administrator in einen anderen String geändert werden kann, der leichter zu merken ist.

Repositories

Dies sind die Bilder, die sich im privaten Register oder im öffentlichen befinden.

Registrierungs- und Repository-Richtlinien

Registrierungen & Repositories haben auch Richtlinien, die verwendet werden können, um Berechtigungen für andere Prinzipale/Konten zu erteilen. Zum Beispiel können Sie in der folgenden Repository-Richtlinie sehen, wie jeder Benutzer aus der gesamten Organisation auf das Bild zugreifen kann:

Enumeration

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Nicht authentifizierte Enumeration

Privilege Escalation

Auf der folgenden Seite können Sie nachsehen, wie Sie ECR-Berechtigungen missbrauchen, um Privilegien zu eskalieren:

Post-Exploitation

Persistenz

Referenzen

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html