AWS - Secrets Manager Privesc
Secrets Manager
Per ulteriori informazioni su Secrets Manager, controlla:
pageAWS - Secrets Manager Enumsecretsmanager:GetSecretValue
secretsmanager:GetSecretValue
Un attaccante con questa autorizzazione può ottenere il valore salvato all'interno di un segreto in AWS Secretsmanager.
Potenziale Impatto: Accesso a dati altamente sensibili all'interno del servizio AWS Secrets Manager.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)Con le autorizzazioni precedenti è possibile concedere l'accesso ad altri principali/account (anche esterni) per accedere al segreto. Si noti che, per leggere i segreti criptati con una chiave KMS, l'utente deve anche avere accesso alla chiave KMS (ulteriori informazioni nella pagina di Enumerazione KMS).
policy.json:
This policy.json
file contains an AWS IAM policy that grants two permissions related to AWS Secrets Manager. The first permission allows the user to list all secrets in the account by using the secretsmanager:ListSecrets
action. The second permission allows the user to retrieve the value of a specific secret named "MySecret" by using the secretsmanager:GetSecretValue
action. The Resource
field specifies the ARN (Amazon Resource Name) of the secret, which is in the format arn:aws:secretsmanager:<region>:<account-id>:secret:<secret-name>
. In this example, the secret is located in the us-east-1
region and belongs to the AWS account with the ID 123456789012
.
Last updated