<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    通過錯誤配置的 AWS Cognito 接管 AWS 帳戶

    VSole2022-07-26 17:05:33

    環境背景

    1. 被測應用程序只有一個登錄頁面,沒有公開注冊功能
    2. 目標應用程序使用披露應用程序客戶端 ID、用戶池 ID、身份池 ID 和區域信息的 AWS Cognito JavaScript 開發工具包
    3. AWS cognito 配置錯誤以允許注冊新用戶
    4. 注冊并登錄以獲得經過身份驗證的身份的 AWS 臨時令牌
    5. AWS 令牌可以訪問用于提升訪問權限的 Lambda 函數

    Amazon Cognito

    Amazon Cognito 管理用戶身份驗證和授權 (RBAC)。用戶池允許登錄和注冊功能。身份池(聯合身份)允許經過身份驗證和未經身份驗證的用戶使用臨時憑證訪問 AWS 資源。

    簡而言之,用戶池存儲所有用戶,身份池使這些用戶能夠訪問 AWS 服務。

    下圖顯示了 AWS Cognito 身份驗證和授權流程。用戶通過用戶池進行身份驗證,成功身份驗證后,用戶池將 3 個 JWT 令牌(ID、Access 和 Refresh)分配給用戶。ID JWT 被傳遞到身份池,以便接收分配給身份提供者角色的臨時 AWS 憑證。

    攻擊過程

    在最近的一次滲透測試中,我們偶然發現了一個登錄頁面。它沒有暴露其他與身份驗證相關的功能,例如忘記密碼或注冊頁面。

    經過進一步調查,我們發現該應用程序使用 AWS Cognito 通過 JavaScript 開發工具包進行身份驗證和授權。客戶端上的 JavaScript SDK 通過 JavaScript 配置文件公開了 App Client ID、User Pool ID、Identity Pool ID 和區域信息等數據。對于 AWS Cognito 的 JavaScript SDK需要此信息才能訪問 Cognito 用戶池并驗證用戶。

    Amazon Cognito 具有經過身份驗證和未經身份驗證的模式來為用戶生成 AWS 臨時憑證。任何人都可以使用特定的 API 調用獲得未經身份驗證的訪問權限。因此,我們嘗試通過使用未經身份驗證的身份訪問 AWS 憑證,但對未經身份驗證的身份的訪問被禁用。

    此處列出了將 AWS 服務暴露給未經身份驗證的身份領域的 一個有趣的案例研究:

    我們發現該應用程序通過 AWS Cognito 錯誤配置無意中暴露了一些功能。使用 AppClientId,我們在 Amazon Cognito 用戶池中創建了一個用戶。確認電子郵件與確認代碼一起發送到指定的電子郵件。

    測試后發現:我們可以使用 ConfirmSignUp API 從注冊電子郵件中收到的令牌確認用戶帳戶。

    現在,當我們使用新注冊的帳戶登錄應用程序時,應用程序響應錯誤,“用戶不屬于任何組”。故該應用需要應用程序內授予的組權限才可以訪問。

    我們意識到,該應用程序實際上驗證了一個新創建的用戶并返回了訪問令牌,但不允許該用戶訪問任何頁面,因為該用戶不屬于任何有權訪問該應用程序的組。

    現在我們已經驗證了訪問權限和 ID 令牌。這些值可用于為經過身份驗證的身份生成臨時 AWS 憑證。

    現在我們可以使用 AWS 命令行界面 (CLI) 與 AWS 服務進行交互:

    使用“aws sts get-caller-identity”命令,可以確定令牌工作正常。

    通過利用我們的云服務枚舉腳本,可以觀察到 AWS 令牌對 AWS Lambda 函數具有完全權限。這使我們能夠探索客戶端的 AWS Lambda 配置。我們首先查看 Lambda 函數列表:

    aws lambda 列表函數

    我們發現其中一個 Lambda 函數 (RotateAccessKeys-CIS) 的 IAM 策略過于寬松。

    aws iam list-attached-role-policies --role-name IAM-CIS

    我們決定修改 Lambda 函數代碼 (RotateAccessKeys-CIS),使其按要求工作,但另外執行了一個允許從環境變量讀取 AWS 憑證的命令。

    我們從突出顯示的代碼位置下載了 Lambda 函數代碼。

    aws lambda get-function --function-name RotateAccessKeys-CIS --query 'Code.Location'

    下載代碼中的“lambda_handler”函數被修改為打印環境變量。

    此外,我們創建了一個包含修改后代碼的 ZIP 文件,以便它在上傳和調用包后執行修改后的 Lambda 函數。

    Lambda 函數“RotateAccessKeys-CIS”現已更新。

    aws lambda update-function-code --function-name RotateAccessKeys-CIS --zip-file fileb:///root//lambda_function.zip

    一旦 Lambda 函數代碼按預期更新,我們使用下面提到的命令調用它。此命令調用該函數并在包含 AWS 臨時憑證的屏幕上打印日志。

    aws lambda invoke --function-name RotateAccessKeys-CIS out --log-type Tail --query 'LogResult' --output text | base64 -d

    我們重復了相同的步驟,并確定了一組具有完全 IAM 訪問權限的臨時憑證。

    接下來,我們使用新的 AWS 憑證配置 AWS CLI 以創建新用戶“nirahua”,并使用以下命令將名為 AdministratorAccess 的 AWS 托管策略附加到用戶。

    awslambda
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    ServerLess Aws Lambda攻擊與橫向方法研究
    2022-06-09 15:04:50
    前言 1、這篇文章講了什么? 文本圍繞三個問題 lambda會遇到什么攻擊場景 什么情況下,在lambda中讀取到的env環境變量密鑰可以讓我們接管服務器甚至整個賬號 什么情況下,可以通過lambda權限去橫向到其他的EC2服務器 本文會對這三個問題進行解答,并且進行演示
    次世代IT環境安全:首個針對AWS Lambda無服務器的惡意軟件
    2022-04-11 12:36:12
    盡管發現的首個樣本危害不大,但已經能夠看到攻擊者是如何利用云專業知識入侵復雜的云基礎設施。
    【安全頭條】新發現的惡意軟件 以具有加密礦工的AWS Lambda 為目標
    2022-04-11 08:54:24
    這種新的惡意軟件被Cado安全研究人員稱為Dennia。
    通過錯誤配置的 AWS Cognito 接管 AWS 帳戶
    2022-07-26 17:05:33
    用戶池允許登錄和注冊功能。經過進一步調查,我們發現該應用程序使用 AWS Cognito 通過 JavaScript 開發工具包進行身份驗證和授權。任何人都可以使用特定的 API 調用獲得未經身份驗證的訪問權限。因此,我們嘗試通過使用未經身份驗證的身份訪問 AWS 憑證,但對未經身份驗證的身份的訪問被禁用。故該應用需要應用程序內授予的組權限才可以訪問。
    詳細案例教會你如何在AWS中鏈接漏洞getshell和訪問數據
    2022-07-25 16:31:06
    來自關于在AWS EC2實例中使用錯誤配置、公開允許的IAM策略和應用程序安全漏洞getshell并超越攻擊面的演講幻燈片 —來自2019年8月舊金山灣區的OWASP會上演講。概要該演講主要涵蓋了三個場景,它們是使用滲透測試練習的真實環境案例來搭建的,即可用于練習shell訪問和訪問EC2實例之外的數據的環境。我們使用此信息來發現其他存儲桶,其中一個包含多個 SSH 密鑰。
    深入分析威脅行為者如何利用AWS服務實現數據提取
    2024-01-19 14:59:23
    在安全防御端的研究中,或者作為安全防御端研究人員,我們常常都會站在攻擊者的角度或攻擊向量切入點來思考安全防御問題,這些攻擊者一般來說都是來自信任區域之外的威脅行為者。但是,如果攻擊者已經成功進入了我們的信任區域,并且想要獲取我們的數據,此時該怎么辦呢?
    SCARLETEEL:利用Terraform、Kubernetes和AWS竊取數據的黑客活動
    2023-03-03 09:37:40
    他們直接聯系AWS API,進一步枚舉帳戶,進而收集信息和泄露數據。不幸的是,AWS集群角色錯誤配置,擁有過大的讀取權限。本意是允許讀取特定的S3存儲桶,但權限允許角色讀取帳戶中的一切,這使攻擊者得以進一步了解AWS帳戶,包括Lambda。受影響的AWS帳戶中有不同的Lambda函數,主要與帳戶自動化有關。還有證據表明攻擊者執行了盜取的軟件。
    使用Amazon Inspector和SentinelOne對AWS工作負載進行主動攻擊面管理
    2022-01-12 12:57:51
    在過去十年中,數字化轉型主要是通過采用云服務來推動的,與傳統的本地基礎設施相比,這些服務提供了無與倫比的敏捷性并縮短了上市時間。大多數組織都投資于公共和混合云架構以保持競爭力,近 94% 的組織至少使用一種云服務。新冠疫情只是加速了向云轉移的計劃,因為安全、高優先級和IT團隊的規模擴大,以滿足遠程勞動力對IT資源的需求。
    安全威脅情報(2022.4.3~4.8)
    2022-04-09 06:57:59
    1、Borat RAT:新型遠程訪問惡意軟件 2、攻擊者利用3LOSH加密器規避檢測 3、FFDroider Stealer:針對社交媒體平臺用戶的新型竊取惡意軟件 4、Denonia:首個公開披露的針對 AWS Lambda 的惡意軟件 5、攻擊者使用SocGholish和BLISTER釋放LockBit有效載荷 6、Colibri Loader使用新技術以保持持久性 7、Shark
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类