Enumeracion automatizada por medio de fuerza bruta
Última actualización
Última actualización
Cuando se comprometen las credenciales de un usuario o rol de IAM en AWS, determinar los permisos exactos disponibles se convierte en un aspecto crucial del proceso de evaluación de seguridad. Aunque el nombre de la función o usuario, así como el contexto en el que se encuentran las credenciales, pueden ofrecer algunas pistas, estos métodos no proporcionan una comprensión completa de los permisos concedidos.
Los ataques de fuerza bruta que se realizan a través de las APIs de AWS para determinar los permisos actuales de unas credenciales de acceso programático funcionan siguiendo un enfoque sistemático y automatizado. Este tipo de ataque implica enviar numerosas peticiones autenticadas a diferentes servicios y endpoints de la API de AWS, con el objetivo de descubrir, mediante el método de prueba y error, qué operaciones están permitidas para las credenciales comprometidas. A continuación, se describe el proceso a un alto nivel técnico:
Obtención de Credenciales: El atacante comienza con un conjunto de credenciales de acceso programático (Access Key ID y Secret Access Key) que ha obtenido mediante tácticas de ingeniería social, brechas de seguridad, o encontrando las credenciales expuestas en repositorios de código o logs.
Automatización de Solicitudes: Utilizando herramientas de automatización o scripts personalizados, el atacante configura un proceso para realizar solicitudes a la API de AWS. Estas solicitudes intentan ejecutar una amplia gama de operaciones disponibles en los servicios de AWS, como listar buckets en S3, iniciar o detener instancias EC2, leer o escribir en bases de datos DynamoDB, entre muchas otras.
Análisis de Respuestas: Cada solicitud a la API devuelve una respuesta que el atacante debe analizar. Las respuestas de AWS indicarán si la operación fue exitosa o si fue denegada. Una operación exitosa sugiere que las credenciales tienen los permisos necesarios para realizar esa acción específica, mientras que una respuesta de acceso denegado indica que las credenciales no poseen el permiso para esa operación.
Enumeración de Permisos: A través de la recopilación y análisis de las respuestas a las solicitudes realizadas, el atacante puede compilar un listado de todos los permisos que las credenciales comprometidas poseen. Esto incluye identificar no solo los servicios a los que pueden acceder, sino también las operaciones específicas permitidas en cada servicio.
Evaluación de Riesgos y Explotación: Con este conocimiento, el atacante puede evaluar qué recursos son accesibles y susceptibles a la explotación. Esto puede incluir la extracción de datos sensibles, la modificación de configuraciones de seguridad, o incluso la creación de nuevos recursos bajo el control del atacante.
Tambien te recomendamos revisar el siguiente video: