Titokban kell tartani az AWS-fiókom azonosítóját? Egyáltalán bármit meg lehet csinálni csak az AWS-fiók azonosítójával?
Az AWS dokumentációból :
Az AWS-fiók azonosítója egy 12 jegyű szám, például az 123456789012, amelyet az Amazon erőforrásnevek (ARN) összeállításához használ. Amikor erőforrásokra hivatkozik, például IAM-felhasználóra vagy Amazon Glacier-tárolóra, a fiókazonosító megkülönbözteti az erőforrásokat az egyéb AWS-fiókok erőforrásaitól.
Válasz
Szükség esetén meg lehet osztani az AWS-fiók azonosítóját.
Mint a dokumentáció mondja, a legfontosabb, hogy bárki használhassa az AWS-t A számlaszám az ARN-ek létrehozására szolgál. Például, ha lenne egy AWS-számlám, amely AWS Lambda funkcióval rendelkezne, és valaki egy másik számlán, akinek kifejezetten engedélyt adtam, manipulálni akarná, akkor a fiók szerint használná. szám az ARN-ben.
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords Ezt megint teljesen korlátozzák a fiókjára alkalmazott engedélyek. Még akkor is, ha teljes ARN-om rendelkeztem, hacsak nem adja meg Az AWS-fiókhoz való hozzáférés nem fog tudni tudni vele mit kezdeni.
Az API-kulcsok azok a dolgok, amelyek távvezérlést biztosítanak a dolgoknak, és veszélyesek is.
Megjegyzések
- Így van. Az AWS lehetővé teszi a nyilvánosan elérhető lambda rétegek megosztását, amelyeket a fiók azonosítóját tartalmazó ARN-eken keresztül osztanak meg. Bár mindig jobb, ha nem oszt meg semmit, hacsak nem muszáj – valamit, akkor csak meg kell osztania a fiók azonosítóját ARN formájában.
Válasz
Az AWS-fiók azonosítójának ismerete nem teszi ki magát semmilyen támadásnak, de ez megkönnyítheti a támadók számára egyéb kompromittáló információk megszerzését.
Rhino Security A laboratóriumok egy rosszul beállított IAM-szerepkörökkel mutatják be a lehetséges kompromisszumvektort egy itt található blogbejegyzésben :
Az AWS-fiók azonosítói egyedileg azonosítják az összes AWS-fiókot, és érzékenyebbek, mint gondolnád. Bár az azonosító közzététele nem teszi közvetlenül fenyegetetté egy fiókot, a támadó felhasználhatja ezeket az információkat más támadások során. Ésszerű erőfeszítéseket kell tenni az AWS megőrzésére. a fiók-azonosítók privátok, de a gyakorlatban gyakran akaratlanul is ki vannak téve a nyilvánosságnak.
[…]
Ez a bejegyzés – és az általunk kiadott kísérőszkript – usi címet ad ng AWS-fiók azonosítója a meglévő szerepkörök azonosításához. Ennek a koncepciónak a kiterjesztéseként a támadók tovább léphetnek, és tévesen konfigurált IAM-szerepeket vállalhatnak az illetéktelen hozzáférés megszerzése érdekében.
Ez csak abban az esetben lesz hatékony ahol a felhasználó megengedi a szerepvállalást * vagy az erőforrások túl széles köréből, de tapasztalataim szerint az IAM engedélyek összetettek és ésszerűen nehezen ellenőrizhetők, és az ilyen támadásokat nehéz felismerni: “ba83fe6c1b”>
Ez a bruteforcing technika és szkript nagy mennyiségű „iam: AssumeRole” CloudTrail naplót generál a számláláshoz használt fiókban. Bármely megcélzott fiók nem lát semmit a CloudTrail naplóiban, amíg sikeresen nem vállal egy rosszul konfigurált szerepet, ez azt jelenti, hogy a felsorolás teljesen naplómentes a célfiókban.
Más szavakkal – ez önmagában nem jelent kockázatot, de érdemben csökkenti a fiók támadási felületét, hogy az azonosító ne kerüljön a nyilvánosság elé.
Megjegyzések
- Én ' elolvastam azt a cikket is, az a hozzászólás egy kicsit feldíszíti a dolgokat, valódi IAM-hitellel és az AWS-fiókkal kellett rendelkezniük. I ' mondjuk, ha valakinek van bejelentkezése az acct-ba, akkor ' máris játékba keveredik a szituáció típusától. Az AWS acct azonosítójának szivárgása aligha váltotta ki a támadást.