HackTricks CloudAWS - Route53 Privesc
Reading time: 3 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Für mehr Informationen über Route53 siehe:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
note
Um diesen Angriff durchzuführen, muss das Zielkonto bereits eine AWS Certificate Manager Private Certificate Authority (https://aws.amazon.com/certificate-manager/private-certificate-authority/) (AWS-PCA) im Konto eingerichtet haben, und EC2-Instanzen in den VPC(s) müssen die Zertifikate bereits importiert haben, um ihr zu vertrauen. Mit dieser Infrastruktur kann der folgende Angriff durchgeführt werden, um AWS API-Traffic abzufangen.
Andere Berechtigungen werden empfohlen, sind aber für den enumeration-Teil nicht erforderlich: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Angenommen, es gibt eine AWS VPC mit mehreren cloud-nativen Anwendungen, die miteinander und mit der AWS API kommunizieren. Da die Kommunikation zwischen den Microservices oft TLS-verschlüsselt ist, muss es eine private CA geben, die die gültigen Zertifikate für diese Dienste ausstellt. If ACM-PCA is used dafür und der Angreifer schafft es, Zugriff zur Kontrolle sowohl von route53 als auch der acm-pca private CA mit der oben beschriebenen Mindestmenge an Berechtigungen zu erlangen, kann er die Anwendungsaufrufe an die AWS API hijacken und damit deren IAM-Berechtigungen übernehmen.
Das ist möglich, weil:
- AWS SDKs verfügen nicht über Certificate Pinning
- Route53 erlaubt das Erstellen von Private Hosted Zone und DNS-Einträgen für AWS APIs Domain-Namen
- Private CA in ACM-PCA kann nicht so eingeschränkt werden, dass sie nur Zertifikate für bestimmte Common Names signiert
Mögliche Auswirkungen: Indirekte privesc durch Abfangen sensibler Informationen im Traffic.
Exploitation
Finde die Exploitation-Schritte in der Originalforschung: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.