AWS - ECR Privesc
ECR
ecr:GetAuthorizationToken
,ecr:BatchGetImage
ecr:GetAuthorizationToken
,ecr:BatchGetImage
Атакувальник з дозволами ecr:GetAuthorizationToken
та ecr:BatchGetImage
може увійти до ECR та завантажити зображення.
Для отримання додаткової інформації щодо завантаження зображень:
AWS - ECR Post ExploitationПотенційний вплив: Побічне підвищення привілеїв шляхом перехоплення чутливої інформації в трафіку.
ecr:GetAuthorizationToken
, ecr:BatchCheckLayerAvailability
, ecr:CompleteLayerUpload
, ecr:InitiateLayerUpload
, ecr:PutImage
, ecr:UploadLayerPart
ecr:GetAuthorizationToken
, ecr:BatchCheckLayerAvailability
, ecr:CompleteLayerUpload
, ecr:InitiateLayerUpload
, ecr:PutImage
, ecr:UploadLayerPart
Атакувальник з усіма цими дозволами може увійти до ECR та завантажити зображення. Це може бути корисно для підвищення привілеїв до інших середовищ, де використовуються ці зображення.
Щоб дізнатися, як завантажити нове зображення або оновити існуюче, перевірте:
AWS - EKS Enumecr-public:GetAuthorizationToken
, ecr-public:BatchCheckLayerAvailability, ecr-public:CompleteLayerUpload
, ecr-public:InitiateLayerUpload, ecr-public:PutImage
, ecr-public:UploadLayerPart
ecr-public:GetAuthorizationToken
, ecr-public:BatchCheckLayerAvailability, ecr-public:CompleteLayerUpload
, ecr-public:InitiateLayerUpload, ecr-public:PutImage
, ecr-public:UploadLayerPart
Те ж саме, що й попередній розділ, але для публічних репозиторіїв.
ecr:SetRepositoryPolicy
ecr:SetRepositoryPolicy
Атакувальник з цим дозволом може змінити політику репозиторію, щоб надати собі (або навіть усім) доступ на читання/запис. Наприклад, у цьому прикладі доступ на читання надається всім.
Зміст my-policy.json
:
ecr-public:SetRepositoryPolicy
ecr-public:SetRepositoryPolicy
Як і попередній розділ, але для публічних репозиторіїв. Атакувальник може змінити політику репозиторію публічного ECR репозиторію, щоб надати несанкціонований публічний доступ або підвищити свої привілеї.
Потенційний вплив: Несанкціонований публічний доступ до репозиторію ECR Public, що дозволяє будь-якому користувачеві завантажувати, витягувати або видаляти зображення.
ecr:PutRegistryPolicy
ecr:PutRegistryPolicy
Зловмисник з цим дозволом може змінити політику реєстру, щоб надати собі, своєму обліковому запису (або навіть усім) доступ на читання/запис.
Last updated