AWS - Enumeración de ECR

ECR

Información Básica

Amazon Elastic Container Registry (Amazon ECR) es un servicio de registro de imágenes de contenedores administrado. Está diseñado para proporcionar un entorno donde los clientes pueden interactuar con sus imágenes de contenedores utilizando interfaces conocidas. Específicamente, se admite el uso de la CLI de Docker o cualquier cliente preferido, lo que permite actividades como empujar, tirar y administrar imágenes de contenedores.

ECR está compuesto por 2 tipos de objetos: Registros y Repositorios.

Registros

Cada cuenta de AWS tiene 2 registros: Privado y Público.

1. Registros Privados:

• Privado por defecto: Las imágenes de contenedores almacenadas en un registro privado de Amazon ECR son accesibles solo para usuarios autorizados dentro de tu cuenta de AWS o para aquellos a quienes se les haya otorgado permiso.

• La URI de un repositorio privado sigue el formato <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Control de acceso: Puedes controlar el acceso a tus imágenes de contenedores privados utilizando políticas de IAM, y puedes configurar permisos detallados basados en usuarios o roles.

• Integración con servicios de AWS: Los registros privados de Amazon ECR se pueden integrar fácilmente con otros servicios de AWS, como EKS, ECS...

• Otras opciones de registro privado:

• La columna de inmutabilidad de etiquetas muestra su estado, si la inmutabilidad de la etiqueta está habilitada, evitará que las imágenes se sobrescriban con etiquetas preexistentes.

• La columna de Tipo de cifrado muestra las propiedades de cifrado del repositorio, muestra los tipos de cifrado predeterminados como AES-256, o tiene cifrados habilitados con KMS.

• La columna de Caché de paso a través muestra su estado, si el estado de la caché de paso a través está activo, almacenará en caché repositorios en un repositorio público externo en tu repositorio privado.

• Se pueden configurar políticas de IAM específicas para otorgar diferentes permisos.

• La configuración de escaneo permite escanear vulnerabilidades en las imágenes almacenadas dentro del repositorio.

2. Registros Públicos:

• Accesibilidad pública: Las imágenes de contenedores almacenadas en un registro público de ECR son accesibles para cualquier persona en Internet sin autenticación.

• La URI de un repositorio público es como public.ecr.aws/<random>/<name>. Aunque la parte <random> puede ser cambiada por el administrador a otra cadena más fácil de recordar.

Repositorios

Estas son las imágenes que están en el registro privado o en el público.

Políticas de Registros y Repositorios

Los registros y repositorios también tienen políticas que se pueden utilizar para otorgar permisos a otros principios/cuentas. Por ejemplo, en la siguiente imagen de política de repositorio, puedes ver cómo cualquier usuario de toda la organización podrá acceder a la imagen:

Enumeración

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Enumeración sin autenticación

Escalada de privilegios

En la siguiente página puedes verificar cómo abusar de los permisos de ECR para escalar privilegios:

Post Explotación

Persistencia

Referencias

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html