AWS - Route53 Privesc

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

Para más información sobre Route53 consulta:

AWS - Route53 Enum

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

Note

Para realizar este ataque la cuenta objetivo debe tener ya configurada una AWS Certificate Manager Private Certificate Authority (AWS-PCA) en la cuenta, y las instancias EC2 en la(s) VPC(s) deben haber importado previamente los certificados para confiar en ella. Con esta infraestructura en su lugar, se puede realizar el siguiente ataque para interceptar el tráfico de la API de AWS.

Otros permisos recomendados pero no requeridos para la parte de enumeración: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

Asumiendo que existe una VPC de AWS con múltiples aplicaciones cloud-native que se comunican entre sí y con la API de AWS. Dado que la comunicación entre microservicios suele estar cifrada con TLS, debe existir una CA privada para emitir certificados válidos para esos servicios. Si ACM-PCA es usado para eso y el adversario logra obtener acceso para controlar tanto route53 como la CA privada de acm-pca con el conjunto mínimo de permisos descrito arriba, puede secuestrar las llamadas de la aplicación a la API de AWS tomando el control de sus permisos IAM.

Esto es posible porque:

• AWS SDKs no tienen Certificate Pinning
• Route53 permite crear Private Hosted Zone y registros DNS para los nombres de dominio de las APIs de AWS
• La Private CA en ACM-PCA no puede restringirse para firmar solo certificados para Common Names específicos

Impacto potencial: privesc indirecto al interceptar información sensible en el tráfico.

Exploitation

Consulta los pasos de explotación en la investigación original: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.