AWS - Step Functions Post Exploitation

Step Functions

Para mais informações sobre este serviço AWS, confira:

states:RevealSecrets

Esta permissão permite revelar dados secretos dentro de uma execução. Para isso, é necessário definir o nível de Inspeção como TRACE e o parâmetro revealSecrets como true.

states:DeleteStateMachine, states:DeleteStateMachineVersion, states:DeleteStateMachineAlias

Um atacante com essas permissões seria capaz de deletar permanentemente máquinas de estado, suas versões e aliases. Isso pode interromper fluxos de trabalho críticos, resultar em perda de dados e exigir um tempo significativo para recuperar e restaurar as máquinas de estado afetadas. Além disso, permitiria que um atacante cobrisse os rastros utilizados, interrompesse investigações forenses e potencialmente paralisasse operações ao remover processos de automação essenciais e configurações de estado.

# Delete state machine
aws stepfunctions delete-state-machine --state-machine-arn <value>
# Delete state machine version
aws stepfunctions delete-state-machine-version --state-machine-version-arn <value>
# Delete state machine alias
aws stepfunctions delete-state-machine-alias --state-machine-alias-arn <value>

• Impacto Potencial: Interrupção de fluxos de trabalho críticos, perda de dados e tempo de inatividade operacional.

states:UpdateMapRun

Um atacante com essa permissão seria capaz de manipular a configuração de falha do Map Run e a configuração paralela, podendo aumentar ou diminuir o número máximo de execuções de fluxos de trabalho filhos permitidos, afetando diretamente o desempenho do serviço. Além disso, um atacante poderia adulterar a porcentagem e a contagem de falhas toleradas, podendo diminuir esse valor para 0, de modo que toda vez que um item falhar, todo o map run falharia, afetando diretamente a execução da máquina de estados e potencialmente interrompendo fluxos de trabalho críticos.

aws stepfunctions update-map-run --map-run-arn <value> [--max-concurrency <value>] [--tolerated-failure-percentage <value>] [--tolerated-failure-count <value>]

• Impacto Potencial: Degradação de desempenho e interrupção de fluxos de trabalho críticos.

states:StopExecution

Um atacante com esta permissão poderia ser capaz de parar a execução de qualquer máquina de estado, interrompendo fluxos de trabalho e processos em andamento. Isso poderia levar a transações incompletas, operações comerciais paralisadas e potencial corrupção de dados.

aws stepfunctions stop-execution --execution-arn <value> [--error <value>] [--cause <value>]

• Impacto Potencial: Interrupção de fluxos de trabalho em andamento, tempo de inatividade operacional e potencial corrupção de dados.

states:TagResource, states:UntagResource

Um atacante poderia adicionar, modificar ou remover tags dos recursos do Step Functions, interrompendo a alocação de custos da sua organização, o rastreamento de recursos e as políticas de controle de acesso baseadas em tags.

aws stepfunctions tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws stepfunctions untag-resource --resource-arn <value> --tag-keys <key>

Impacto Potencial: Interrupção da alocação de custos, rastreamento de recursos e políticas de controle de acesso baseadas em tags.