HackTricks CloudAWS - Route53 Privesc
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Δείτε τα subscription plans!
- Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Για περισσότερες πληροφορίες σχετικά με το Route53 δείτε:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
Note
Για να εκτελεστεί αυτή η επίθεση ο στοχευόμενος λογαριασμός πρέπει να έχει ήδη ρυθμισμένο έναν AWS Certificate Manager Private Certificate Authority (AWS-PCA) στον λογαριασμό, και οι EC2 instances στο/στα VPC(s) πρέπει να έχουν ήδη εισαγάγει τα πιστοποιητικά για να το εμπιστεύονται. Με αυτή την υποδομή στη θέση της, μπορεί να πραγματοποιηθεί η ακόλουθη επίθεση για να παρεμβληθεί στην κίνηση προς τα AWS API.
Άλλες άδειες που συνιστώνται αλλά δεν είναι απαραίτητες για το μέρος της ανακάλυψης: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Υποθέτοντας ότι υπάρχει ένα AWS VPC με πολλαπλές cloud-native εφαρμογές που επικοινωνούν μεταξύ τους και με τα AWS API. Εφόσον η επικοινωνία μεταξύ των microservices είναι συχνά κρυπτογραφημένη με TLS, απαιτείται μια ιδιωτική CA για την έκδοση έγκυρων πιστοποιητικών για αυτές τις υπηρεσίες. If ACM-PCA is used για αυτό και ο αντίπαλος καταφέρει να αποκτήσει access to control both route53 and acm-pca private CA με το ελάχιστο σύνολο δικαιωμάτων που περιγράφτηκε παραπάνω, μπορεί να hijack the application calls to AWS API και να αναλάβει τα IAM δικαιώματά τους.
This is possible because:
- Οι AWS SDKs δεν έχουν Certificate Pinning
- Το Route53 επιτρέπει τη δημιουργία Private Hosted Zone και εγγραφών DNS για τα domain names των AWS APIs
- Η Private CA στο ACM-PCA δεν μπορεί να περιοριστεί ώστε να υπογράφει μόνο πιστοποιητικά για συγκεκριμένα Common Names
Potential Impact: Έμμεσο privesc μέσω υποκλοπής ευαίσθητων πληροφοριών στην κίνηση.
Exploitation
Βρείτε τα βήματα εκμετάλλευσης στην αρχική έρευνα: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
Μάθετε & εξασκηθείτε στο GCP Hacking:
Μάθετε & εξασκηθείτε στο Az Hacking:Υποστηρίξτε το HackTricks
- Δείτε τα subscription plans!
- Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.