AWS - Step Functions Post Exploitation

Step Functions

このAWSサービスに関する詳細情報は、以下を確認してください：

states:RevealSecrets

この権限は、実行内の秘密データを明らかにすることを許可します。そのためには、InspectionレベルをTRACEに設定し、revealSecretsパラメータをtrueにする必要があります。

states:DeleteStateMachine, states:DeleteStateMachineVersion, states:DeleteStateMachineAlias

これらの権限を持つ攻撃者は、ステートマシン、そのバージョン、およびエイリアスを永久に削除することができます。これにより、重要なワークフローが中断され、データ損失が発生し、影響を受けたステートマシンの回復と復元に多大な時間がかかる可能性があります。さらに、攻撃者は使用した痕跡を隠し、法医学的調査を妨害し、重要な自動化プロセスやステート構成を削除することで、操作を麻痺させる可能性があります。

# Delete state machine
aws stepfunctions delete-state-machine --state-machine-arn <value>
# Delete state machine version
aws stepfunctions delete-state-machine-version --state-machine-version-arn <value>
# Delete state machine alias
aws stepfunctions delete-state-machine-alias --state-machine-alias-arn <value>

• 潜在的影響: 重要なワークフローの中断、データ損失、および運用のダウンタイム。

states:UpdateMapRun

この権限を持つ攻撃者は、Map Runの失敗設定と並列設定を操作でき、許可される子ワークフロー実行の最大数を増減させることができ、サービスのパフォーマンスに直接影響を与えます。さらに、攻撃者は許容される失敗率とカウントを改ざんでき、この値を0に減少させることができるため、アイテムが失敗するたびに全体のマップランが失敗し、状態マシンの実行に直接影響を与え、重要なワークフローを中断させる可能性があります。

aws stepfunctions update-map-run --map-run-arn <value> [--max-concurrency <value>] [--tolerated-failure-percentage <value>] [--tolerated-failure-count <value>]

• 潜在的影響: パフォーマンスの低下、重要なワークフローの中断。

states:StopExecution

この権限を持つ攻撃者は、任意のステートマシンの実行を停止でき、進行中のワークフローやプロセスを中断させる可能性があります。これにより、未完了のトランザクション、停止したビジネスオペレーション、潜在的なデータの破損が発生する可能性があります。

aws stepfunctions stop-execution --execution-arn <value> [--error <value>] [--cause <value>]

• 潜在的影響: 進行中のワークフローの中断、運用のダウンタイム、及びデータの破損の可能性。

states:TagResource, states:UntagResource

攻撃者は、Step Functionsリソースからタグを追加、変更、または削除することができ、組織のコスト配分、リソース追跡、及びタグに基づくアクセス制御ポリシーを混乱させる可能性があります。

aws stepfunctions tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws stepfunctions untag-resource --resource-arn <value> --tag-keys <key>

潜在的影響: コスト配分、リソース追跡、およびタグベースのアクセス制御ポリシーの混乱。