AWS Pentesting
Informations de base
Avant de commencer le test de pénétration d'un environnement AWS, il y a quelques choses de base que vous devez savoir sur le fonctionnement d'AWS pour vous aider à comprendre ce que vous devez faire, comment trouver des configurations incorrectes et comment les exploiter.
Des concepts tels que la hiérarchie de l'organisation, IAM et d'autres concepts de base sont expliqués dans :
pageAWS - Basic InformationLaboratoires pour apprendre
Outils pour simuler des attaques :
Méthodologie de testeur de pénétration/équipe rouge AWS
Pour auditer un environnement AWS, il est très important de savoir : quels services sont utilisés, ce qui est exposé, qui a accès à quoi, et comment les services AWS internes et les services externes sont connectés.
Du point de vue d'une équipe rouge, la première étape pour compromettre un environnement AWS est de parvenir à obtenir des informations d'identification. Voici quelques idées sur la façon de le faire :
Fuites sur github (ou similaire) - OSINT
Ingénierie sociale
Réutilisation de mot de passe (fuites de mots de passe)
Vulnérabilités dans les applications hébergées sur AWS
Falsification de requête côté serveur avec accès à l'endpoint de métadonnées
Lecture de fichiers locaux
/home/USERNAME/.aws/credentials
C:\Users\USERNAME\.aws\credentials
3e parties compromises
Employé interne
Cognito informations d'identification
Ou en compromettant un service non authentifié exposé :
pageAWS - Unauthenticated Enum & AccessOu si vous effectuez une révision, vous pourriez simplement demander des informations d'identification avec ces rôles :
pageAWS - Permissions for a PentestAprès avoir réussi à obtenir des informations d'identification, vous devez savoir à qui appartiennent ces informations d'identification, et à quoi elles ont accès, vous devez donc effectuer une certaine énumération de base :
Énumération de base
SSRF
Si vous avez trouvé un SSRF sur une machine à l'intérieur d'AWS, consultez cette page pour des astuces :
Qui suis-je
Une des premières choses que vous devez savoir est qui vous êtes (dans quel compte vous êtes et d'autres informations sur l'environnement AWS) :
Notez que les entreprises peuvent utiliser des tokens canary pour identifier quand des tokens sont volés et utilisés. Il est recommandé de vérifier si un token est un token canary ou non avant de l'utiliser. Pour plus d'informations, consultez cette page.
Énumération de l'organisation
pageAWS - Organizations EnumÉnumération IAM
Si vous avez suffisamment de permissions, vérifier les privilèges de chaque entité à l'intérieur du compte AWS vous aidera à comprendre ce que vous et d'autres identités pouvez faire et comment escalader les privilèges.
Si vous n'avez pas suffisamment de permissions pour énumérer IAM, vous pouvez les forcer en force brute pour les découvrir. Consultez comment effectuer l'énumération et le forçage en force dans :
pageAWS - IAM, Identity Center & SSO EnumMaintenant que vous avez des informations sur vos identifiants (et si vous êtes une équipe rouge, espérons que vous n'avez pas été détecté). Il est temps de découvrir quels services sont utilisés dans l'environnement. Dans la section suivante, vous pouvez consulter quelques façons d'énumérer certains services courants.
Énumération des services, Post-Exploitation & Persistence
AWS propose une quantité impressionnante de services, sur la page suivante, vous trouverez des informations de base, des triches d'énumération, comment éviter la détection, obtenir la persistance, et d'autres astuces de post-exploitation à leur sujet :
pageAWS - ServicesNotez que vous n'avez pas besoin d'effectuer tout le travail manuellement, ci-dessous dans ce post, vous pouvez trouver une section sur les outils automatiques.
De plus, à ce stade, vous pourriez avoir découvert davantage de services exposés aux utilisateurs non authentifiés, que vous pourriez exploiter :
pageAWS - Unauthenticated Enum & AccessÉlévation de privilèges
Si vous pouvez vérifier au moins vos propres permissions sur différentes ressources, vous pourriez vérifier si vous êtes en mesure d'obtenir des permissions supplémentaires. Vous devriez vous concentrer au moins sur les permissions indiquées dans :
pageAWS - Privilege EscalationServices Exposés Publiquement
Lors de l'énumération des services AWS, vous pourriez en trouver certains exposant des éléments à Internet (ports VM/Containers, bases de données ou services de file d'attente, instantanés ou buckets...). En tant que testeur d'intrusion/équipe rouge, vous devriez toujours vérifier si vous pouvez trouver des informations sensibles / vulnérabilités sur eux car ils pourraient vous fournir un accès supplémentaire au compte AWS.
Dans ce livre, vous devriez trouver des informations sur la façon de trouver des services AWS exposés et comment les vérifier. Pour trouver des vulnérabilités dans les services réseau exposés, je vous recommande de rechercher le service spécifique dans :
Compromission de l'organisation
À partir du compte racine/de gestion
Lorsque le compte de gestion crée de nouveaux comptes dans l'organisation, un nouveau rôle est créé dans le nouveau compte, par défaut nommé OrganizationAccountAccessRole
et donnant la politique AdministratorAccess au compte de gestion pour accéder au nouveau compte.
Ainsi, pour accéder en tant qu'administrateur à un compte enfant, vous devez :
Compromettre le compte de gestion et trouver l'ID des comptes enfants et les noms du rôle (OrganizationAccountAccessRole par défaut) permettant au compte de gestion d'accéder en tant qu'administrateur.
Pour trouver les comptes enfants, allez à la section organisations dans la console AWS ou exécutez
aws organizations list-accounts
Vous ne pouvez pas trouver directement le nom des rôles, donc vérifiez toutes les politiques IAM personnalisées et recherchez celles autorisant
sts:AssumeRole
sur les comptes enfants précédemment découverts.Compromettre un principal dans le compte de gestion avec l'autorisation
sts:AssumeRole
sur le rôle dans les comptes enfants (même si le compte autorise n'importe qui du compte de gestion à s'impersonner, des autorisations spécifiquessts:AssumeRole
sont nécessaires).
Outils Automatisés
Reconnaissance
aws-recon : Un outil de collecte d'inventaire AWS axé sur la sécurité, multi-thread et écrit en Ruby.
cloudlist: Cloudlist est un outil multi-cloud pour obtenir des ressources (noms d'hôtes, adresses IP) auprès des fournisseurs de cloud.
cloudmapper: CloudMapper vous aide à analyser vos environnements Amazon Web Services (AWS). Il contient désormais beaucoup plus de fonctionnalités, y compris l'audit des problèmes de sécurité.
cartography: Cartography est un outil Python qui consolide les actifs d'infrastructure et les relations entre eux dans une vue graphique intuitive alimentée par une base de données Neo4j.
starbase: Starbase collecte des actifs et des relations à partir de services et de systèmes, y compris l'infrastructure cloud, les applications SaaS, les contrôles de sécurité, et plus encore, dans une vue graphique intuitive soutenue par la base de données Neo4j.
aws-inventory: (Utilise python2) C'est un outil qui tente de découvrir tous les ressources AWS créées dans un compte.
aws_public_ips: C'est un outil pour récupérer toutes les adresses IP publiques (IPv4/IPv6) associées à un compte AWS.
Privesc & Exploiting
SkyArk: Découvrez les utilisateurs les plus privilégiés dans l'environnement AWS analysé, y compris les administrateurs Shadow AWS. Il utilise powershell. Vous pouvez trouver la définition des politiques privilégiées dans la fonction
Check-PrivilegedPolicy
dans https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1.pacu: Pacu est un cadre d'exploitation AWS open-source, conçu pour les tests de sécurité offensive contre les environnements cloud. Il peut énumérer, trouver des mauvaises configurations et les exploiter. Vous pouvez trouver la définition des autorisations privilégiées dans https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134 à l'intérieur du dictionnaire
user_escalation_methods
.Notez que pacu vérifie uniquement vos propres chemins de privilèges (pas à l'échelle du compte).
PMapper: Principal Mapper (PMapper) est un script et une bibliothèque permettant d'identifier les risques liés à la configuration de la gestion des identités et des accès (IAM) AWS pour un compte AWS ou une organisation AWS. Il modélise les différents utilisateurs IAM et rôles dans un compte sous la forme d'un graphe orienté, ce qui permet de vérifier les possibilités d'élévation de privilèges et les chemins alternatifs qu'un attaquant pourrait emprunter pour accéder à une ressource ou une action dans AWS. Vous pouvez vérifier les autorisations utilisées pour trouver des chemins de privilèges dans les fichiers se terminant par
_edges.py
dans https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing
cloudsplaining: Cloudsplaining est un outil d'évaluation de la sécurité IAM AWS qui identifie les violations du principe du moindre privilège et génère un rapport HTML priorisé par risque. Il vous montrera potentiellement les clients sur-privilegiés, les policies inline et aws et quels principaux y ont accès. (Il ne vérifie pas seulement les élévations de privilèges mais aussi d'autres types de permissions intéressantes, recommandé à utiliser).
cloudjack: CloudJack évalue les comptes AWS pour les vulnérabilités de détournement de sous-domaine résultant de configurations déconnectées de Route53 et CloudFront.
ccat: Liste des dépôts ECR -> Récupère le dépôt ECR -> Le compromet -> Pousse l'image compromisée
Dufflebag: Dufflebag est un outil qui recherche dans les instantanés publics de stockage de blocs élastiques (EBS) des secrets qui auraient pu être laissés accidentellement.
Audit
cloudsploit: CloudSploit par Aqua est un projet open-source conçu pour permettre la détection des risques de sécurité dans les comptes d'infrastructure cloud, y compris : Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) et GitHub (Il ne recherche pas les ShadowAdmins).
Prowler: Prowler est un outil de sécurité Open Source pour effectuer des évaluations des meilleures pratiques de sécurité AWS, des audits, des réponses aux incidents, une surveillance continue, un renforcement et une préparation à la criminalistique.
CloudFox: CloudFox vous aide à acquérir une connaissance de la situation dans des environnements cloud inconnus. C'est un outil en ligne de commande open source créé pour aider les testeurs de pénétration et d'autres professionnels de la sécurité offensive à trouver des chemins d'attaque exploitables dans l'infrastructure cloud.
ScoutSuite: Scout Suite est un outil d'audit de sécurité multi-cloud open source, qui permet d'évaluer la posture de sécurité des environnements cloud.
cs-suite: Cloud Security Suite (utilise python2.7 et semble non maintenu)
Zeus: Zeus est un outil puissant pour les meilleures pratiques de durcissement AWS EC2 / S3 / CloudTrail / CloudWatch / KMS (semble non maintenu). Il vérifie uniquement les informations d'identification configurées par défaut dans le système.
Audit Constant
cloud-custodian: Cloud Custodian est un moteur de règles pour la gestion des comptes et des ressources cloud publics. Il permet aux utilisateurs de définir des politiques pour permettre une infrastructure cloud bien gérée, à la fois sécurisée et optimisée en termes de coûts. Il consolide de nombreux scripts ad hoc que les organisations possèdent en un outil léger et flexible, avec des métriques et des rapports unifiés.
pacbot: Policy as Code Bot (PacBot) est une plateforme pour la surveillance continue de la conformité, la génération de rapports de conformité et l'automatisation de la sécurité pour le cloud. Dans PacBot, les politiques de sécurité et de conformité sont implémentées sous forme de code. Toutes les ressources découvertes par PacBot sont évaluées par rapport à ces politiques pour mesurer la conformité aux politiques. Le cadre auto-fix de PacBot offre la possibilité de répondre automatiquement aux violations de politiques en prenant des actions prédéfinies.
streamalert: StreamAlert est un cadre d'analyse de données en temps réel sans serveur qui vous permet d'ingérer, d'analyser et d'alerter sur des données provenant de n'importe quel environnement, en utilisant des sources de données et une logique d'alerte que vous définissez. Les équipes de sécurité informatique utilisent StreamAlert pour analyser des téraoctets de données de journal chaque jour pour la détection et la réponse aux incidents.
DEBUG: Capturer les requêtes AWS cli
Références
Dernière mise à jour