HackTricks CloudAWS - Route53 Privesc
Reading time: 4 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
Route53に関する詳細情報は次を確認してください:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
note
この攻撃を実行するには、ターゲットアカウントにすでにAWS Certificate Manager Private Certificate Authority **(AWS-PCA)**が設定されている必要があり、VPC内のEC2インスタンスはすでにその証明書をインポートして信頼する必要があります。このインフラストラクチャが整っている場合、AWS APIトラフィックを傍受するために次の攻撃を実行できます。
列挙部分に推奨されるが必須ではない他の権限:route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
AWS VPCがあり、複数のクラウドネイティブアプリケーションが互いにおよびAWS APIと通信していると仮定します。マイクロサービス間の通信はしばしばTLSで暗号化されているため、これらのサービスに対して有効な証明書を発行するためのプライベートCAが必要です。ACM-PCAがそれに使用され、敵がroute53とacm-pcaプライベートCAの両方を制御するアクセスを取得し、上記の最小限の権限セットを持っている場合、AWS APIへのアプリケーション呼び出しをハイジャックし、IAM権限を奪うことができます。
これは次の理由から可能です:
- AWS SDKは証明書ピンニングを持っていない
- Route53はAWS APIのドメイン名用にプライベートホステッドゾーンとDNSレコードを作成することを許可している
- ACM-PCAのプライベートCAは特定のコモンネームのための証明書のみを署名するように制限できない
潜在的な影響: トラフィック内の機密情報を傍受することによる間接的な権限昇格。
Exploitation
元の研究でのエクスプロイト手順を見つけてください:https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。