AWS - ECR Enum
AWS - ECR Enum
ECR
Informazioni di Base
Amazon Elastic Container Registry (Amazon ECR) è un servizio di registro di immagini di container gestito. È progettato per fornire un ambiente in cui i clienti possono interagire con le proprie immagini di container utilizzando interfacce ben note. In particolare, è supportato l'uso della Docker CLI o di qualsiasi client preferito, consentendo attività come il push, il pull e la gestione delle immagini dei container.
ECR è composto da 2 tipi di oggetti: Registries e Repositories.
Registries
Ogni account AWS ha 2 registries: Privato e Pubblico.
Registri Privati:
Privati per impostazione predefinita: Le immagini dei container memorizzate in un registro privato Amazon ECR sono accessibili solo agli utenti autorizzati all'interno del tuo account AWS o a coloro a cui è stata concessa l'autorizzazione.
L'URI di un repository privato segue il formato
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Controllo dell'accesso: Puoi controllare l'accesso alle tue immagini di container private utilizzando policy IAM, e puoi configurare autorizzazioni dettagliate basate su utenti o ruoli.
Integrazione con servizi AWS: I registri privati Amazon ECR possono essere facilmente integrati con altri servizi AWS, come EKS, ECS...
Altre opzioni di registro privato:
La colonna Immunità del tag elenca il suo stato, se l'immunità del tag è abilitata impedirà il push dell'immagine con tag preesistenti sovrascrivendo le immagini.
La colonna Tipo di crittografia elenca le proprietà di crittografia del repository, mostra i tipi di crittografia predefiniti come AES-256, o ha crittografie abilitate con KMS.
La colonna Cache di pull through elenca il suo stato, se lo stato della Cache di pull through è Attivo, verranno memorizzati nella cache repository in un repository pubblico esterno nel tuo repository privato.
Specifiche policy IAM possono essere configurate per concedere diverse autorizzazioni.
La configurazione della scansione consente di eseguire la scansione delle vulnerabilità nelle immagini memorizzate all'interno del repository.
Registri Pubblici:
Accessibilità pubblica: Le immagini dei container memorizzate in un registro ECR Pubblico sono accessibili a chiunque su Internet senza autenticazione.
L'URI di un repository pubblico è come
public.ecr.aws/<random>/<name>
. Anche se la parte<random>
può essere modificata dall'amministratore con un'altra stringa più facile da ricordare.
Repositories
Queste sono le immagini che si trovano nel registro privato o in quello pubblico.
Nota che per caricare un'immagine in un repository, il repository ECR deve avere lo stesso nome dell'immagine.
Politiche di Registro e Repository
Registri e repository hanno anche politiche che possono essere utilizzate per concedere autorizzazioni ad altri principali/account. Ad esempio, nella seguente politica del repository, puoi vedere come qualsiasi utente dell'intera organizzazione potrà accedere all'immagine:
Enumerazione
Enumerazione non autenticata
pageAWS - ECR Unauthenticated EnumPrivesc
Nella pagina seguente puoi verificare come abusare delle autorizzazioni ECR per scalare i privilegi:
pageAWS - ECR PrivescPost Exploitation
pageAWS - ECR Post ExploitationPersistenza
pageAWS - ECR PersistenceRiferimenti
Last updated