AWS - MSK Enum
Amazon MSK
Amazon Managed Streaming for Apache Kafka (Amazon MSK) ist ein vollständig verwalteter Dienst, der die Entwicklung und Ausführung von Anwendungen zur Verarbeitung von Streaming-Daten über Apache Kafka erleichtert. Amazon MSK bietet Control-Plane-Operationen, einschließlich Erstellung, Aktualisierung und Löschung von Clustern. Der Dienst ermöglicht die Nutzung von Apache Kafka Data-Plane-Operationen, die Datenproduktion und -konsumption umfassen. Er arbeitet mit Open-Source-Versionen von Apache Kafka, die die Kompatibilität mit vorhandenen Anwendungen, Tools und Plugins sowohl von Partnern als auch von der Apache Kafka-Community sicherstellen und so die Notwendigkeit von Änderungen im Anwendungscode beseitigen.
In Bezug auf die Zuverlässigkeit ist Amazon MSK darauf ausgelegt, automatisch häufig auftretende Cluster-Ausfallszenarien zu erkennen und wiederherzustellen, um sicherzustellen, dass Produzenten- und Konsumentenanwendungen ihre Daten schreib- und leseaktivitäten mit minimalen Unterbrechungen fortsetzen. Darüber hinaus zielt es darauf ab, die Datenreplikationsprozesse zu optimieren, indem es versucht, den Speicher der ersetzten Broker wiederzuverwenden, um so das Volumen der von Apache Kafka replizierten Daten zu minimieren.
Typen
Es gibt 2 Arten von Kafka-Clustern, die AWS erstellen kann: Bereitgestellt und Serverless.
Aus der Sicht eines Angreifers müssen Sie wissen, dass:
Serverless kann nicht direkt öffentlich zugänglich sein (es kann nur in einem VPN ohne öffentlich zugängliche IP-Adresse ausgeführt werden). Bereitgestellt kann jedoch so konfiguriert werden, dass es eine öffentliche IP-Adresse erhält (standardmäßig nicht) und das Sicherheitsgruppe konfiguriert, um die relevanten Ports freizugeben.
Serverless unterstützt nur IAM als Authentifizierungsmethode. Bereitgestellt unterstützt SASL/SCRAM (Passwort) Authentifizierung, IAM-Authentifizierung, AWS Certificate Manager (ACM) Authentifizierung und Unauthentifizierten Zugriff.
Beachten Sie, dass es nicht möglich ist, einen bereitgestellten Kafka öffentlich zugänglich zu machen, wenn unauthentifizierter Zugriff aktiviert ist.
Enumeration
Kafka IAM-Zugriff (in serverless)
Privilege Escalation
pageAWS - MSK PrivescNicht authentifizierter Zugriff
pageAWS - MSK Unauthenticated EnumPersistenz
Wenn Sie Zugriff auf das VPC haben, in dem ein bereitgestelltes Kafka ist, könnten Sie unberechtigten Zugriff aktivieren, wenn SASL/SCRAM-Authentifizierung verwendet wird, das Passwort aus dem Geheimnis lesen, einigen anderen gesteuerten Benutzern IAM-Berechtigungen geben (falls IAM oder serverless verwendet wird) oder mit Zertifikaten persistieren.
Referenzen
Last updated