AWS - CloudFront Post Exploitation

Reading time: 3 minutes

CloudFront

Pour plus d'informations, consultez :

AWS - CloudFront Enum

cloudfront:Delete*

Un attaquant disposant de cloudfront:Delete* peut supprimer des distributions, des policies et d'autres objets critiques de configuration du CDN — par exemple distributions, cache/origin policies, key groups, origin access identities, functions/configs et ressources associées. Cela peut provoquer une interruption de service, une perte de contenu et la suppression de configurations ou d'artefacts d'investigation forensique.

Pour supprimer une distribution, un attaquant pourrait utiliser :

aws cloudfront delete-distribution \
--id <DISTRIBUTION_ID> \
--if-match <ETAG>

Man-in-the-Middle

This blog post propose quelques scénarios différents où une Lambda pourrait être ajoutée (ou modifiée si elle est déjà utilisée) dans une communication through CloudFront dans le but de voler des informations utilisateur (comme le cookie de session) et de modifier la response (injection d'un script JS malveillant).

scénario 1: MitM where CloudFront is configured to access some HTML of a bucket

• Créer la function malveillante.
• Associer celle-ci à la distribution CloudFront.
• Définir le event type sur "Viewer Response".

En accédant à la response, vous pourriez voler le cookie des utilisateurs et injecter un JS malveillant.

scénario 2: MitM where CloudFront is already using a lambda function

• Modifier le code de la lambda function pour voler des informations sensibles

You can check the tf code to recreate this scenarios here.