AWS - Apigateway Privesc
Apigateway
Per ulteriori informazioni, controlla:
pageAWS - API Gateway Enumapigateway:POST
apigateway:POST
Con questa autorizzazione puoi generare chiavi API delle API configurate (per regione).
Impatto potenziale: Non è possibile ottenere privilegi con questa tecnica, ma potresti ottenere accesso a informazioni sensibili.
apigateway:GET
apigateway:GET
Con questa autorizzazione è possibile ottenere le chiavi API generate delle API configurate (per regione).
Impatto potenziale: Non è possibile ottenere privilegi con questa tecnica, ma potresti ottenere accesso a informazioni sensibili.
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
apigateway:UpdateRestApiPolicy
, apigateway:PATCH
Con queste autorizzazioni è possibile modificare la policy delle risorse di un'API per ottenere accesso per chiamarla e abusare del potenziale accesso che potrebbe avere il gateway API (come invocare una lambda vulnerabile).
Impatto potenziale: Di solito, non sarai in grado di fare una privesc direttamente con questa tecnica, ma potresti ottenere accesso a informazioni sensibili.
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
apigateway:PutIntegration
, apigateway:CreateDeployment
, iam:PassRole
Necessita di test
Un attaccante con i permessi apigateway:PutIntegration
, apigateway:CreateDeployment
e iam:PassRole
può aggiungere una nuova integrazione a un'API Gateway REST API esistente con una funzione Lambda che ha un ruolo IAM associato. L'attaccante può quindi triggerare la funzione Lambda per eseguire codice arbitrario e potenzialmente ottenere accesso alle risorse associate al ruolo IAM.
Impatto potenziale: Accesso alle risorse associate al ruolo IAM della funzione Lambda.
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
apigateway:UpdateAuthorizer
, apigateway:CreateDeployment
Necessita di test
Un attaccante con i permessi apigateway:UpdateAuthorizer
e apigateway:CreateDeployment
può modificare un authorizer esistente di API Gateway per eludere i controlli di sicurezza o eseguire codice arbitrario quando vengono effettuate richieste API.
Impatto potenziale: Bypassare i controlli di sicurezza, accesso non autorizzato alle risorse dell'API.
apigateway:UpdateVpcLink
apigateway:UpdateVpcLink
Necessita di test
Un attaccante con il permesso apigateway:UpdateVpcLink
può modificare un collegamento VPC esistente per puntare a un diverso Network Load Balancer, potenzialmente reindirizzando il traffico privato dell'API verso risorse non autorizzate o malevole.
Potenziale Impatto: Accesso non autorizzato alle risorse API private, intercettazione o interruzione del traffico API.
Last updated