AWS - Secrets Manager Post Exploitation

Secrets Manager

For more information check:

{{#ref}} ../aws-services/aws-secrets-manager-enum.md {{#endref}}

Read Secrets

The secrets sami po sebi predstavljaju osetljive informacije, pogledajte privesc stranicu da naučite kako da ih pročitate.

DoS Change Secret Value

Changing the value of the secret you could prouzrokovati DoS na sve sisteme koji zavise od te vrednosti.

Warning

Imajte na umu da su prethodne vrednosti takođe sačuvane, tako da je lako vratiti se na prethodnu vrednost.

# Requires permission secretsmanager:PutSecretValue
aws secretsmanager put-secret-value \
--secret-id MyTestSecret \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

DoS Change KMS key

Ako napadač ima dozvolu secretsmanager:UpdateSecret, može konfigurisati secret da koristi KMS key u vlasništvu napadača. Taj key je inicijalno podešen tako da svako može da mu pristupi i koristi ga, pa je moguće ažurirati secret novim key-jem. Ako key nije bio dostupan, secret ne bi mogao biti ažuriran.

Nakon promene KMS key-a za secret, napadač menja konfiguraciju svog key-a tako da samo on može da mu pristupi. Na taj način, u narednim verzijama secreta, one će biti šifrovane novim key-jem, i pošto nema pristupa tom key-u, mogućnost preuzimanja secreta bi bila izgubljena.

Važno je napomenuti da će ta nedostupnost nastupiti samo u kasnijim verzijama, posle promene sadržaja secreta, jer je trenutna verzija i dalje šifrovana originalnim KMS key-em.

aws secretsmanager update-secret \
--secret-id MyTestSecret \
--kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

DoS Brisanje tajne

Minimalan broj dana za brisanje tajne je 7

aws secretsmanager delete-secret \
--secret-id MyTestSecret \
--recovery-window-in-days 7

2.0 KiB Raw Blame History