AWS - CodeBuild Post Exploitation
CodeBuild
Aby uzyskać więcej informacji, sprawdź:
pageAWS - Codebuild EnumNadużycie dostępu do repozytorium CodeBuild
Aby skonfigurować CodeBuild, będzie potrzebny dostęp do repozytorium kodu, z którego będzie korzystał. Kilka platform może hostować ten kod:
Projekt CodeBuild musi mieć dostęp do skonfigurowanego dostawcy źródła, albo poprzez rolę IAM, albo z użyciem tokena github/bitbucket lub dostępu OAuth.
Atakujący z podwyższonymi uprawnieniami w CodeBuild mógłby wykorzystać ten skonfigurowany dostęp do wycieku kodu skonfigurowanego repozytorium oraz innych, do których ustawione poświadczenia mają dostęp. Aby to zrobić, atakujący musiałby jedynie zmienić adres URL repozytorium na każde repozytorium, do którego poświadczenia mają dostęp (zauważ, że strona internetowa AWS wyświetli je wszystkie dla Ciebie):
I zmienić polecenia Buildspec, aby wyciekać kod z każdego repozytorium.
Jednakże, to zadanie jest powtarzalne i żmudne i jeśli token githuba był skonfigurowany z uprawnieniami do zapisu, atakujący nie będzie mógł (nad)użyć tych uprawnień, ponieważ nie ma dostępu do tokenu. Czy jednak ma? Sprawdź następną sekcję
Wyciek tokenów dostępu z AWS CodeBuild
Możesz wyciekać dostęp udzielony w CodeBuild do platform takich jak Github. Sprawdź, czy został udzielony dostęp do zewnętrznych platform:
codebuild:DeleteProject
codebuild:DeleteProject
Atakujący mógłby usunąć cały projekt CodeBuild, powodując utratę konfiguracji projektu i wpływając na aplikacje polegające na projekcie.
Potencjalne skutki: Utrata konfiguracji projektu i zakłócenie usługi dla aplikacji korzystających z usuniętego projektu.
codebuild:TagResource
, codebuild:UntagResource
codebuild:TagResource
, codebuild:UntagResource
Atakujący mógłby dodać, zmodyfikować lub usunąć tagi z zasobów CodeBuild, zakłócając alokację kosztów, śledzenie zasobów i polityki kontroli dostępu oparte na tagach w Twojej organizacji.
Potencjalne skutki: Zakłócenie alokacji kosztów, śledzenia zasobów oraz polityk kontroli dostępu opartych na tagach.
codebuild:DeleteSourceCredentials
codebuild:DeleteSourceCredentials
Atakujący mógłby usunąć poświadczenia źródłowe dla repozytorium Git, wpływając na normalne funkcjonowanie aplikacji polegających na tym repozytorium.
Potencjalny wpływ: Zakłócenie normalnego funkcjonowania aplikacji polegających na dotkniętym repozytorium ze względu na usunięcie poświadczeń źródłowych.
Last updated