AWS Organizations
Investigacion inspirada en https://www.netspi.com/
AnteriorLas cuentas de AWS como límite de seguridadSiguienteAbusando de las relaciones de confianza al crear un cuenta (OrganizationAccountAccessRole)
Última actualización
Investigacion inspirada en https://www.netspi.com/
Última actualización
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el CPNA - Curso Profesional de Pentesting Contra AWS. No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
Este contenido se adentra en una técnica avanzada de post-explotación, crucial para entender cómo maximizar el impacto de un ataque una vez que se ha conseguido penetrar en un sistema. Es importante recalcar que la ejecución de esta técnica presupone que el atacante o consultor ya ha obtenido ciertos niveles de privilegios dentro de la infraestructura objetivo. Sin estos privilegios, llevar a cabo el ataque explicado aquí no sería posible. Proceder con cautela y siempre dentro del marco legal y ético es fundamental.
Antes de adentrarnos en el tema de organizaciones, es esencial familiarizarse con algunos términos clave. AWS Organizations es un servicio de AWS que permite a los clientes crear "organizaciones". Una organización está compuesta por una o más cuentas individuales de AWS. En la Figura 2 a continuación, la Cuenta A es la cuenta que creó la organización y, por lo tanto, se denomina la cuenta de gestión.
La cuenta de gestión posee privilegios similares a los de un administrador sobre toda la organización. Esta puede invitar a otras cuentas de AWS, eliminar cuentas de AWS, suprimir una organización, adjuntar políticas y más. En la Figura 2, la Cuenta A invitó a la Cuenta B y a la Cuenta C a unirse a su organización. Las Cuentas B y C siguen siendo cuentas de AWS separadas, pero al aceptar la invitación de la Cuenta A, sus referencias aparecen dentro de la entidad organizativa de la Cuenta A. Una vez aceptada la invitación, las Cuentas B y C se convierten en cuentas miembro y, por defecto, tienen muchos menos privilegios que la cuenta de gestión.
Una cuenta miembro por defecto solo puede ver algunos datos asociados con la cuenta de gestión. No puede leer otra información de la organización, ni puede realizar cambios en la organización. Las cuentas miembro por defecto están tan aisladas que no tienen visibilidad sobre qué otras cuentas miembro existen dentro de la organización, viendo únicamente a sí mismas y el número de la cuenta de gestión.
Las Unidades Organizativas (OUs) pueden considerarse como "carpetas" creadas por los clientes que se utilizan para organizar los recursos de las cuentas. Root es una entidad especial que aparece en cada Organización de AWS y puede considerarse funcionalmente equivalente a una OU bajo la cual existen todas las cuentas.
Finalmente, es importante destacar que el acceso a AWS Organizations desde una cuenta de gestión, como la Cuenta A, ofrece una disposición de interfaz de usuario (UI) distinta en comparación con el acceso desde una cuenta miembro, como la Cuenta C (Figura 3 versus Figura 4). Se puede observar que la barra de navegación izquierda varía notablemente. Debido a que las cuentas miembro tienen permisos considerablemente más limitados respecto a la organización, intentar acceder a secciones como "Cuentas de AWS" o "Políticas" desde una cuenta miembro por defecto resulta en errores de permisos, como se esperaría. Estas diferencias son herramientas útiles para los evaluadores en el proceso de determinar si tienen acceso a una cuenta de gestión o a una cuenta miembro durante las pruebas de penetración en AWS.
Esta distinción en la experiencia de usuario subraya la importancia de una gestión cuidadosa de permisos y accesos dentro de la estructura de AWS Organizations. Los evaluadores de seguridad, al notar estas diferencias, pueden identificar rápidamente su nivel de acceso y ajustar sus estrategias de prueba en consecuencia. Además, esta variación en la UI resalta la necesidad de familiarizarse con las configuraciones de seguridad de AWS para navegar eficazmente y evaluar la postura de seguridad de las organizaciones en la nube.
