AWS - Apigateway Privesc
Apigateway
Para más información, consulta:
pageAWS - API Gateway Enumapigateway:POST
apigateway:POST
Con este permiso puedes generar claves API de las APIs configuradas (por región).
Impacto Potencial: No puedes realizar privesc con esta técnica, pero podrías obtener acceso a información sensible.
apigateway:GET
apigateway:GET
Con este permiso puedes obtener las claves de API generadas de las APIs configuradas (por región).
Impacto Potencial: No puedes realizar privesc con esta técnica, pero podrías obtener acceso a información sensible.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Con estos permisos es posible modificar la política de recursos de una API para darte acceso a llamarla y abusar del acceso potencial que la puerta de enlace API podría tener (como invocar un lambda vulnerable).
Impacto Potencial: Generalmente, no podrás escalar privilegios directamente con esta técnica, pero podrías obtener acceso a información sensible.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Necesita pruebas
Un atacante con los permisos apigateway:PutIntegration
, apigateway:CreateDeployment
y iam:PassRole
puede agregar una nueva integración a una API REST de API Gateway existente con una función Lambda que tiene un rol de IAM asociado. Luego, el atacante puede activar la función Lambda para ejecutar código arbitrario y potencialmente obtener acceso a los recursos asociados con el rol de IAM.
Impacto Potencial: Acceso a recursos asociados con el rol IAM de la función Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Necesita pruebas
Un atacante con los permisos apigateway:UpdateAuthorizer
y apigateway:CreateDeployment
puede modificar un autorizador de API Gateway existente para eludir controles de seguridad o para ejecutar código arbitrario cuando se realizan solicitudes a la API.
Impacto Potencial: Eludir controles de seguridad, acceso no autorizado a recursos de API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Necesita pruebas
Un atacante con el permiso apigateway:UpdateVpcLink
puede modificar un VPC Link existente para apuntar a un Network Load Balancer diferente, redirigiendo potencialmente el tráfico de API privado hacia recursos no autorizados o maliciosos.
Impacto Potencial: Acceso no autorizado a recursos privados de API, interceptación o interrupción del tráfico de API.
Última actualización