AWS - CodeBuild Post Exploitation
CodeBuild
Для отримання додаткової інформації перегляньте:
Зловживання доступом до репозиторію CodeBuild
Для налаштування CodeBuild, він буде потребувати доступ до репозиторію коду, який він буде використовувати. Цей код може зберігатися на кількох платформах:
Проект CodeBuild повинен мати доступ до налаштовувача початкового постачальника, або через роль IAM, або з токеном або OAuth доступом до github/bitbucket.
Атакувальник з підвищеними дозволами в CodeBuild може зловживати цим налаштованим доступом для витоку коду налаштованого репозиторію та інших, де установлені облікові дані мають доступ. Для цього атакувальнику просто потрібно змінити URL-адресу репозиторію на кожний репозиторій, до якого мають доступ облікові дані конфігурації (зверніть увагу, що веб-сайт aws перерахує їх усі для вас):
І змінити команди Buildspec для витоку кожного репозиторію.
Однак це завдання є повторним та втомлюючим, і якщо токен github був налаштований з правами запису, атакувальник не зможе (зловживати) цими дозволами, оскільки він не має доступу до токена. Або має? Перевірте наступний розділ
Витік токенів доступу з AWS CodeBuild
Ви можете витікати доступ, наданий в CodeBuild на платформи, такі як Github. Перевірте, чи був наданий доступ до зовнішніх платформ:
codebuild:DeleteProject
codebuild:DeleteProject
Атакувальник може видалити весь проект CodeBuild, що призведе до втрати конфігурації проекту та впливу на додатки, які покладаються на цей проект.
Потенційний вплив: Втрата конфігурації проекту та перебої в обслуговуванні додатків, які використовують видалений проект.
codebuild:TagResource
, codebuild:UntagResource
codebuild:TagResource
, codebuild:UntagResource
Атакувальник може додавати, змінювати або видаляти теги з ресурсів CodeBuild, порушуючи політику розподілу витрат, відстеження ресурсів та політики контролю доступу на основі тегів вашої організації.
Потенційний вплив: Розрив в алокації витрат, відстеженні ресурсів та політиках контролю доступу на основі тегів.
codebuild:DeleteSourceCredentials
codebuild:DeleteSourceCredentials
Атакувальник може видалити початкові облікові дані для Git-репозиторію, що може вплинути на нормальне функціонування додатків, які покладаються на цей репозиторій.
Потенційний вплив: Порушення нормальної роботи додатків, що покладаються на пошкоджений репозиторій через видалення даних автентифікації джерела.
Last updated