HackTricks CloudAWS - Route53 Privesc
Reading time: 3 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : 
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Pour plus d'informations sur Route53, consultez :
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
note
Pour effectuer cette attaque, le compte cible doit déjà avoir une AWS Certificate Manager Private Certificate Authority (AWS-PCA) configurée dans le compte, et les instances EC2 dans le(s) VPC doivent déjà avoir importé les certificats pour lui faire confiance. Avec cette infrastructure en place, l'attaque suivante peut être réalisée pour intercepter le trafic API AWS.
D'autres autorisations recommandées mais non requises pour la partie énumération : route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
En supposant qu'il y ait un VPC AWS avec plusieurs applications cloud-native communiquant entre elles et avec l'API AWS. Étant donné que la communication entre les microservices est souvent chiffrée en TLS, il doit y avoir une CA privée pour émettre les certificats valides pour ces services. Si ACM-PCA est utilisé pour cela et que l'adversaire parvient à accéder au contrôle à la fois de route53 et de la CA privée acm-pca avec le minimum d'autorisations décrites ci-dessus, il peut détourner les appels d'application vers l'API AWS en prenant le contrôle de leurs autorisations IAM.
Cela est possible parce que :
- Les SDK AWS n'ont pas de Certificate Pinning
- Route53 permet de créer des zones hébergées privées et des enregistrements DNS pour les noms de domaine des API AWS
- La CA privée dans ACM-PCA ne peut pas être restreinte à la signature uniquement des certificats pour des noms communs spécifiques
Impact potentiel : Privesc indirect en interceptant des informations sensibles dans le trafic.
Exploitation
Trouvez les étapes d'exploitation dans la recherche originale : https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.