AWS - ECR Enum
AWS - Enumeración de ECR
ECR
Información Básica
Amazon Elastic Container Registry (Amazon ECR) es un servicio de registro de imágenes de contenedores administrado. Está diseñado para proporcionar un entorno donde los clientes pueden interactuar con sus imágenes de contenedores utilizando interfaces conocidas. Específicamente, se admite el uso de la CLI de Docker o cualquier cliente preferido, lo que permite actividades como empujar, tirar y administrar imágenes de contenedores.
ECR está compuesto por 2 tipos de objetos: Registros y Repositorios.
Registros
Cada cuenta de AWS tiene 2 registros: Privado y Público.
Registros Privados:
Privado por defecto: Las imágenes de contenedores almacenadas en un registro privado de Amazon ECR son accesibles solo para usuarios autorizados dentro de tu cuenta de AWS o para aquellos a quienes se les haya otorgado permiso.
La URI de un repositorio privado sigue el formato
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Control de acceso: Puedes controlar el acceso a tus imágenes de contenedores privados utilizando políticas de IAM, y puedes configurar permisos detallados basados en usuarios o roles.
Integración con servicios de AWS: Los registros privados de Amazon ECR se pueden integrar fácilmente con otros servicios de AWS, como EKS, ECS...
Otras opciones de registro privado:
La columna de inmutabilidad de etiquetas muestra su estado, si la inmutabilidad de la etiqueta está habilitada, evitará que las imágenes se sobrescriban con etiquetas preexistentes.
La columna de Tipo de cifrado muestra las propiedades de cifrado del repositorio, muestra los tipos de cifrado predeterminados como AES-256, o tiene cifrados habilitados con KMS.
La columna de Caché de paso a través muestra su estado, si el estado de la caché de paso a través está activo, almacenará en caché repositorios en un repositorio público externo en tu repositorio privado.
Se pueden configurar políticas de IAM específicas para otorgar diferentes permisos.
La configuración de escaneo permite escanear vulnerabilidades en las imágenes almacenadas dentro del repositorio.
Registros Públicos:
Accesibilidad pública: Las imágenes de contenedores almacenadas en un registro público de ECR son accesibles para cualquier persona en Internet sin autenticación.
La URI de un repositorio público es como
public.ecr.aws/<random>/<name>
. Aunque la parte<random>
puede ser cambiada por el administrador a otra cadena más fácil de recordar.
Repositorios
Estas son las imágenes que están en el registro privado o en el público.
Ten en cuenta que para cargar una imagen en un repositorio, el repositorio de ECR debe tener el mismo nombre que la imagen.
Políticas de Registros y Repositorios
Los registros y repositorios también tienen políticas que se pueden utilizar para otorgar permisos a otros principios/cuentas. Por ejemplo, en la siguiente imagen de política de repositorio, puedes ver cómo cualquier usuario de toda la organización podrá acceder a la imagen:
Enumeración
Enumeración sin autenticación
AWS - ECR Unauthenticated EnumEscalada de privilegios
En la siguiente página puedes verificar cómo abusar de los permisos de ECR para escalar privilegios:
AWS - ECR PrivescPost Explotación
AWS - ECR Post ExploitationPersistencia
AWS - ECR PersistenceReferencias
Last updated