AWS - CloudFront Post Exploitation

Reading time: 3 minutes

CloudFront

अधिक जानकारी के लिए देखें:

AWS - CloudFront Enum

cloudfront:Delete*

अगर attacker को cloudfront:Delete* का अधिकार दिया गया है, तो वह distributions, policies और अन्य महत्वपूर्ण CDN configuration objects — उदाहरण के लिए distributions, cache/origin policies, key groups, origin access identities, functions/configs, और संबंधित resources — को delete कर सकता है। इससे service disruption, content loss, और configuration या forensic artifacts का हटना हो सकता है।

किसी distribution को delete करने के लिए attacker निम्न का उपयोग कर सकता है:

aws cloudfront delete-distribution \
--id <DISTRIBUTION_ID> \
--if-match <ETAG>

Man-in-the-Middle

This blog post कुछ अलग परिदृश्यों का सुझाव देता है जहाँ एक Lambda को (या यदि पहले से उपयोग में हो तो संशोधित किया जा सकता है) communication through CloudFront में जोड़ा जा सकता है ताकि उपयोगकर्ता की जानकारी stealing (जैसे session cookie) और modifying the response (malicious JS script inject करना) किया जा सके।

परिदृश्य 1: MitM जहाँ CloudFront को किसी bucket के कुछ HTML तक पहुँचने के लिए कॉन्फ़िगर किया गया है

• Create दुर्भावनापूर्ण function बनाएं।
• Associate इसे CloudFront distribution के साथ करें।
• event type to "Viewer Response" सेट करें।

Response को एक्सेस करके आप उपयोगकर्ता का cookie चुरा सकते हैं और एक malicious JS inject कर सकते हैं।

परिदृश्य 2: MitM जहाँ CloudFront पहले से ही एक lambda function का उपयोग कर रहा है

• lambda function के code को Modify the code करके संवेदनशील जानकारी चुराई जा सकती है।

You can check the tf code to recreate this scenarios here.