AWS - EFS Privesc
EFS
Maelezo zaidi kuhusu EFS inapatikana:
pageAWS - EFS EnumKumbuka kwamba ili kufunga EFS unahitaji kuwa kwenye mtandao wa chini ambapo EFS inaonekana na kuwa na ufikiaji wake (vikundi vya usalama). Ikiwa hii inatokea, kwa chaguo-msingi, utaweza kufunga, hata hivyo, ikiwa imekingwa na sera za IAM unahitaji kuwa na ruhusa za ziada zilizotajwa hapa ili kuipata.
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
elasticfilesystem:DeleteFileSystemPolicy
|elasticfilesystem:PutFileSystemPolicy
Kwa ruhusa yoyote kati ya hizo, mshambuliaji anaweza kubadilisha sera ya mfumo wa faili ili kukupa ufikiaji kwake, au tu kuifuta ili ufikiaji wa chaguo-msingi upewe.
Ili kufuta sera:
Kuibadilisha:
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
Kwa idhini hii, mshambuliaji ataweza kufunga EFS. Ikiwa idhini ya kuandika haijatolewa kwa kila mtu anayeweza kufunga EFS, atakuwa na upatikanaji wa kusoma tu.
Mamlaka ya ziada elasticfilesystem:ClientRootAccess
na elasticfilesystem:ClientWrite
inaweza kutumika kwa kuandika ndani ya mfumo wa faili baada ya kufungwa na kwa kupata mfumo huo wa faili kama root.
Matokeo Yanayowezekana: Privesc isiyo ya moja kwa moja kwa kutambua habari nyeti katika mfumo wa faili.
elasticfilesystem:CreateMountTarget
elasticfilesystem:CreateMountTarget
Ikiwa mshambuliaji yuko ndani ya mtandao wa sehemu ambapo hakuna lengo la kufunga la EFS lipo. Anaweza tu kuunda moja katika eneo lake na mamlaka hii:
Athari Inayoweza Kutokea: Privesc isiyo ya moja kwa moja kwa kutambua habari nyeti kwenye mfumo wa faili.
elasticfilesystem:ModifyMountTargetSecurityGroups
elasticfilesystem:ModifyMountTargetSecurityGroups
Katika hali ambapo mshambuliaji anagundua kwamba EFS ina lengo la kufunga katika eneo lake la mtandao lakini hakuna kikundi cha usalama kinachoruhusu trafiki, anaweza tu kubadilisha hilo kwa kubadilisha vikundi vya usalama vilivyochaguliwa:
Athari Inayoweza Kutokea: Privesc isiyo ya moja kwa moja kwa kutambua habari nyeti kwenye mfumo wa faili.
Last updated