AWS - CodeBuild Post Exploitation
CodeBuild
詳細については、次を確認してください:
pageAWS - Codebuild EnumCodeBuildリポジトリアクセスの悪用
CodeBuildを構成するには、使用するコードリポジトリへのアクセスが必要です。複数のプラットフォームがこのコードをホストしている可能性があります:
CodeBuildプロジェクトは、IAMロールを介してまたはgithub/bitbucketのトークンまたはOAuthアクセスを使用して、構成されたソースプロバイダへのアクセスを持っている必要があります。
CodeBuildで昇格された権限を持つ攻撃者は、構成されたアクセスを悪用して、構成されたリポジトリのコードや設定された認証情報でアクセス権がある他のリポジトリのコードを漏洩させることができます。 これを行うために、攻撃者は単にリポジトリのURLを変更して、構成された認証情報でアクセス権がある各リポジトリにアクセスします(AWSウェブはそれらすべてをリストします):
そして、Buildspecコマンドを変更して、各リポジトリを外部に漏洩させます。
ただし、このタスクは繰り返し作業で面倒であり、githubトークンが書き込み権限で構成されている場合、攻撃者はその権限を悪用できません(トークンにアクセス権がないため)。 またはできるのでしょうか?次のセクションを確認してください
AWS CodeBuildからのアクセストークンの漏洩
CodeBuildで与えられたアクセスをGithubなどのプラットフォームに漏洩させることができます。外部プラットフォームへのアクセスが与えられているかどうかを確認してください:
codebuild:DeleteProject
codebuild:DeleteProject
攻撃者は、CodeBuildプロジェクト全体を削除することができ、プロジェクト構成の損失やプロジェクトに依存するアプリケーションに影響を与える可能性があります。
潜在的影響: 削除されたプロジェクトを使用するアプリケーションにおけるプロジェクト構成の喪失とサービスの中断。
codebuild:TagResource
、codebuild:UntagResource
codebuild:TagResource
、codebuild:UntagResource
攻撃者は、CodeBuild リソースからタグを追加、変更、または削除することができ、組織のコスト割り当て、リソース追跡、およびタグに基づくアクセス制御ポリシーに影響を与える可能性があります。
潜在的影響: コスト割り当て、リソース追跡、およびタグベースのアクセス制御ポリシーの混乱。
codebuild:DeleteSourceCredentials
codebuild:DeleteSourceCredentials
攻撃者は、Gitリポジトリのソース資格情報を削除することができ、リポジトリに依存するアプリケーションの正常な機能に影響を与える可能性があります。
潜在的な影響: 影響を受けたリポジトリに依存するアプリケーションの通常の機能が中断され、ソースの資格情報が削除される可能性があります。
最終更新