AWS - CodeBuild Post Exploitation
CodeBuild
Per ulteriori informazioni, controlla:
pageAWS - Codebuild EnumAbuso dell'Accesso al Repo di CodeBuild
Per configurare CodeBuild, sarà necessario accesso al repo del codice che verrà utilizzato. Diversi platform potrebbero ospitare questo codice:
Il progetto CodeBuild deve avere accesso al provider di origine configurato, sia tramite ruolo IAM o con un token github/bitbucket o accesso OAuth.
Un attaccante con permessi elevati su un CodeBuild potrebbe abusare di questo accesso configurato per leakare il codice del repo configurato e di altri dove le credenziali impostate hanno accesso. Per fare ciò, un attaccante dovrebbe semplicemente cambiare l'URL del repository per ogni repo a cui le credenziali di configurazione hanno accesso (nota che il sito web aws li elencherà tutti per te):
E cambiare i comandi Buildspec per esfiltrare ogni repo.
Tuttavia, questo compito è ripetitivo e noioso e se un token github è stato configurato con permessi di scrittura, un attaccante non sarà in grado di (ab)usare quei permessi poiché non ha accesso al token. O forse sì? Controlla la sezione successiva
Leak di Token di Accesso da AWS CodeBuild
Puoi leakare l'accesso fornito in CodeBuild a piattaforme come Github. Controlla se è stato fornito accesso a piattaforme esterne con:
codebuild:DeleteProject
codebuild:DeleteProject
Un attaccante potrebbe eliminare un intero progetto CodeBuild, causando la perdita di configurazione del progetto e influenzando le applicazioni che dipendono dal progetto.
Impatto Potenziale: Perdita di configurazione del progetto e interruzione del servizio per le applicazioni che utilizzano il progetto eliminato.
codebuild:TagResource
, codebuild:UntagResource
codebuild:TagResource
, codebuild:UntagResource
Un attaccante potrebbe aggiungere, modificare o rimuovere tag dalle risorse di CodeBuild, interrompendo la suddivisione dei costi, il tracciamento delle risorse e le politiche di controllo degli accessi dell'organizzazione basate sui tag.
Impatto Potenziale: Disruzione dell'allocazione dei costi, del tracciamento delle risorse e delle politiche di controllo degli accessi basate su tag.
codebuild:DeleteSourceCredentials
codebuild:DeleteSourceCredentials
Un attaccante potrebbe eliminare le credenziali della sorgente per un repository Git, influenzando il normale funzionamento delle applicazioni che dipendono dal repository.
Impatto Potenziale: Disruzione del funzionamento normale delle applicazioni che dipendono dal repository interessato a causa della rimozione delle credenziali sorgente.
Last updated