AWS - CodeBuild Post Exploitation
CodeBuild
Para mais informações, verifique:
pageAWS - Codebuild EnumAbuso de Acesso ao Repositório do CodeBuild
Para configurar o CodeBuild, ele precisará de acesso ao repositório de código que será utilizado. Várias plataformas podem hospedar esse código:
O projeto CodeBuild deve ter acesso ao provedor de origem configurado, seja por meio de função IAM ou com um token ou acesso OAuth do github/bitbucket.
Um atacante com permissões elevadas em um CodeBuild poderia abusar desse acesso configurado para vazar o código do repositório configurado e de outros onde as credenciais definidas têm acesso. Para fazer isso, um atacante só precisaria alterar a URL do repositório para cada repositório ao qual as credenciais de configuração têm acesso (observe que o site da aws listará todos eles para você):
E alterar os comandos Buildspec para extrair cada repositório.
No entanto, essa tarefa é repetitiva e tediosa e se um token do github foi configurado com permissões de escrita, um atacante não poderá (ab)usar essas permissões pois ele não tem acesso ao token. Ou tem? Verifique a próxima seção
Vazamento de Tokens de Acesso do AWS CodeBuild
Você pode vazar o acesso fornecido no CodeBuild para plataformas como o Github. Verifique se algum acesso a plataformas externas foi concedido com:
codebuild:DeleteProject
codebuild:DeleteProject
Um atacante poderia excluir um projeto inteiro do CodeBuild, causando a perda da configuração do projeto e impactando as aplicações que dependem do projeto.
Impacto Potencial: Perda de configuração do projeto e interrupção do serviço para aplicações que usam o projeto excluído.
codebuild:TagResource
, codebuild:UntagResource
codebuild:TagResource
, codebuild:UntagResource
Um atacante poderia adicionar, modificar ou remover tags de recursos do CodeBuild, interrompendo as políticas de alocação de custos, rastreamento de recursos e controle de acesso da sua organização com base em tags.
Impacto Potencial: Disrupção da alocação de custos, rastreamento de recursos e políticas de controle de acesso baseadas em tags.
codebuild:DeleteSourceCredentials
codebuild:DeleteSourceCredentials
Um atacante poderia excluir credenciais de origem para um repositório Git, impactando o funcionamento normal de aplicações que dependem do repositório.
Impacto Potencial: Disrupção do funcionamento normal de aplicações que dependem do repositório afetado devido à remoção de credenciais de origem.
Última actualización