AWS - IAM Post Exploitation
IAM
Za više informacija o pristupu IAM-u:
pageAWS - IAM, Identity Center & SSO EnumProblem zbunjenog zamenika
Ako dozvolite spoljnom nalogu (A) pristup ulogi u vašem nalogu, verovatno nećete imati vidljivost o ko može tačno pristupiti tom spoljnom nalogu. To je problem, jer ako drugi spoljni nalog (B) može pristupiti spoljnom nalogu (A), moguće je da B takođe može pristupiti vašem nalogu.
Stoga, kada dozvoljavate spoljnom nalogu pristup ulozi u vašem nalogu, moguće je specificirati ExternalId
. Ovo je "tajni" string koji spoljni nalog (A) mora specificirati kako bi pretpostavio ulogu u vašoj organizaciji. Pošto spoljni nalog B neće znati ovaj string, čak i ako ima pristup nad A, neće moći pristupiti vašoj ulozi.
Međutim, imajte na umu da ovaj ExternalId
"tajni" nije zapravo tajna, svako ko može pročitati politiku pretpostavljanja uloge IAM-a moći će je videti. Ali sve dok spoljni nalog A zna za to, a spoljni nalog B ne zna, sprečava B da zloupotrebi A kako bi pristupio vašoj ulozi.
Primer:
Da bi napadač iskoristio zbunjenog zamenika, moraće na neki način da otkrije da li principali trenutnog naloga mogu da se predstave kao uloge u drugim nalozima.
Neočekivani poverenici
Zvezdica kao princip
Ova politika omogućava svim AWS da preuzmu ulogu.
Servis kao principala
Ova politika omogućava svakom nalogu da konfiguriše svoj apigateway da pozove ovaj Lambda.
S3 kao principala
Nije podržano
Ako je S3 kanta data kao princip, jer S3 kante nemaju ID naloga, ako izbrišete svoju kantu i napadač je kreira u svom nalogu, tada bi to mogli zloupotrebiti.
Jedan uobičajeni način za izbegavanje problema sa zbunjenim zamenikom je korišćenje uslova sa AWS:SourceArn
da proveri poreklo ARN-a. Međutim, neke usluge možda ne podržavaju to (kao što je CloudTrail prema nekim izvorima).
Reference
Last updated