AWS - Apigateway Privesc
Apigateway
Pour plus d'informations, consultez :
AWS - API Gateway Enumapigateway:POST
apigateway:POST
Avec cette autorisation, vous pouvez générer des clés API des API configurées (par région).
Impact potentiel : Vous ne pouvez pas effectuer de privilège d'escalade avec cette technique, mais vous pourriez accéder à des informations sensibles.
apigateway:GET
apigateway:GET
Avec cette autorisation, vous pouvez obtenir les clés API générées des API configurées (par région).
Impact potentiel : Vous ne pouvez pas réaliser une élévation de privilèges avec cette technique, mais vous pourriez accéder à des informations sensibles.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Avec ces autorisations, il est possible de modifier la stratégie des ressources d'une API pour vous donner accès à son appel et abuser de l'accès potentiel que la passerelle API pourrait avoir (comme l'invocation d'une fonction lambda vulnérable).
Impact potentiel : En général, vous ne pourrez pas effectuer une élévation de privilèges directement avec cette technique, mais vous pourriez accéder à des informations sensibles.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Besoin de test
Un attaquant ayant les autorisations apigateway:PutIntegration
, apigateway:CreateDeployment
et iam:PassRole
peut ajouter une nouvelle intégration à une API Gateway REST API existante avec une fonction Lambda ayant un rôle IAM attaché. L'attaquant peut ensuite déclencher la fonction Lambda pour exécuter du code arbitraire et potentiellement accéder aux ressources associées au rôle IAM.
Impact potentiel : Accès aux ressources associées au rôle IAM de la fonction Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Besoin de test
Un attaquant avec les autorisations apigateway:UpdateAuthorizer
et apigateway:CreateDeployment
peut modifier un authorizer API Gateway existant pour contourner les vérifications de sécurité ou exécuter du code arbitraire lors de la réalisation de requêtes API.
Impact potentiel : Contournement des vérifications de sécurité, accès non autorisé aux ressources de l'API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Besoin de test
Un attaquant avec la permission apigateway:UpdateVpcLink
peut modifier un lien VPC existant pour le faire pointer vers un autre Network Load Balancer, redirigeant potentiellement le trafic de l'API privée vers des ressources non autorisées ou malveillantes.
Impact potentiel : Accès non autorisé aux ressources API privées, interception ou perturbation du trafic API.
Last updated