AWS - Apigateway Privesc
Apigateway
Pour plus d'informations, consultez :
pageAWS - API Gateway Enumapigateway:POST
apigateway:POST
Avec cette permission, vous pouvez générer des clés API des APIs configurées (par région).
Impact potentiel : Vous ne pouvez pas effectuer de privesc avec cette technique, mais vous pourriez accéder à des informations sensibles.
apigateway:GET
apigateway:GET
Avec cette permission, vous pouvez obtenir les clés API générées des API configurées (par région).
Impact potentiel : Vous ne pouvez pas effectuer de privesc avec cette technique, mais vous pourriez accéder à des informations sensibles.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Avec ces permissions, il est possible de modifier la politique de ressource d'une API pour se donner l'accès à l'appeler et abuser des accès potentiels que la passerelle API pourrait avoir (comme invoquer un lambda vulnérable).
Impact potentiel : Vous ne pourrez généralement pas réaliser une élévation de privilèges directement avec cette technique, mais vous pourriez accéder à des informations sensibles.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Nécessite des tests
Un attaquant disposant des permissions apigateway:PutIntegration
, apigateway:CreateDeployment
et iam:PassRole
peut ajouter une nouvelle intégration à une API REST API Gateway existante avec une fonction Lambda qui a un rôle IAM attaché. L'attaquant peut ensuite déclencher la fonction Lambda pour exécuter du code arbitraire et potentiellement accéder aux ressources associées au rôle IAM.
Impact potentiel : Accès aux ressources associées au rôle IAM de la fonction Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Nécessite des tests
Un attaquant disposant des permissions apigateway:UpdateAuthorizer
et apigateway:CreateDeployment
peut modifier un authorizer API Gateway existant pour contourner les contrôles de sécurité ou pour exécuter du code arbitraire lors des requêtes API.
Impact potentiel : Contournement des contrôles de sécurité, accès non autorisé aux ressources de l'API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Nécessite des tests
Un attaquant disposant de la permission apigateway:UpdateVpcLink
peut modifier un VPC Link existant pour le faire pointer vers un autre équilibreur de charge réseau, redirigeant potentiellement le trafic d'une API privée vers des ressources non autorisées ou malveillantes.
Impact Potentiel : Accès non autorisé aux ressources d'API privées, interception ou perturbation du trafic API.
Dernière mise à jour