3.9 KiB
AWS - Elastic Beanstalk Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
Elastic Beanstalk
Pour plus d'informations :
{{#ref}} ../aws-services/aws-elastic-beanstalk-enum.md {{#endref}}
elasticbeanstalk:DeleteApplicationVersion
Note
TODO : Tester si des permissions supplémentaires sont nécessaires pour cela
Un attaquant avec la permission elasticbeanstalk:DeleteApplicationVersion peut supprimer une version d'application existante. Cette action pourrait perturber les pipelines de déploiement d'application ou entraîner la perte de versions spécifiques d'application si elles ne sont pas sauvegardées.
aws elasticbeanstalk delete-application-version --application-name my-app --version-label my-version
Impact potentiel : Interruption du déploiement de l'application et perte potentielle des versions de l'application.
elasticbeanstalk:TerminateEnvironment
Note
TODO : Tester si d'autres autorisations sont nécessaires pour cela
Un attaquant ayant l'autorisation elasticbeanstalk:TerminateEnvironment peut terminer un environnement Elastic Beanstalk existant, provoquant un temps d'arrêt pour l'application et une perte potentielle de données si l'environnement n'est pas configuré pour des sauvegardes.
aws elasticbeanstalk terminate-environment --environment-name my-existing-env
Impact potentiel : Temps d'arrêt de l'application, perte de données potentielle et interruption des services.
elasticbeanstalk:DeleteApplication
Note
TODO : Tester si d'autres autorisations sont nécessaires pour cela
Un attaquant ayant l'autorisation elasticbeanstalk:DeleteApplication peut supprimer une application Elastic Beanstalk entière, y compris toutes ses versions et environnements. Cette action pourrait entraîner une perte significative de ressources et de configurations de l'application si elles ne sont pas sauvegardées.
aws elasticbeanstalk delete-application --application-name my-app --terminate-env-by-force
Impact potentiel : Perte de ressources d'application, de configurations, d'environnements et de versions d'application, entraînant une interruption de service et une perte de données potentielle.
elasticbeanstalk:SwapEnvironmentCNAMEs
Note
TODO : Tester si d'autres autorisations sont nécessaires pour cela
Un attaquant disposant de l'autorisation elasticbeanstalk:SwapEnvironmentCNAMEs peut échanger les enregistrements CNAME de deux environnements Elastic Beanstalk, ce qui pourrait entraîner la diffusion de la mauvaise version de l'application aux utilisateurs ou provoquer un comportement inattendu.
aws elasticbeanstalk swap-environment-cnames --source-environment-name my-env-1 --destination-environment-name my-env-2
Impact potentiel : Servir la mauvaise version de l'application aux utilisateurs ou provoquer un comportement inattendu dans l'application en raison d'environnements échangés.
elasticbeanstalk:AddTags, elasticbeanstalk:RemoveTags
Note
TODO : Tester si d'autres autorisations sont nécessaires pour cela
Un attaquant disposant des autorisations elasticbeanstalk:AddTags et elasticbeanstalk:RemoveTags peut ajouter ou supprimer des balises sur les ressources Elastic Beanstalk. Cette action pourrait entraîner une allocation incorrecte des ressources, une facturation ou une gestion des ressources.
aws elasticbeanstalk add-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tags Key=MaliciousTag,Value=1
aws elasticbeanstalk remove-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tag-keys MaliciousTag
Impact potentiel : Allocation incorrecte des ressources, facturation ou gestion des ressources en raison de l'ajout ou de la suppression d'étiquettes.
{{#include ../../../banners/hacktricks-training.md}}