HackTricks CloudAWS - Route53 Privesc
Tip
Ucz się & ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.
For more information about Route53 check:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
Note
Aby przeprowadzić ten atak konto docelowe musi mieć już skonfigurowany AWS Certificate Manager Private Certificate Authority (AWS-PCA) w koncie, a instancje EC2 w VPC(s) muszą już zaimportować certyfikaty, aby mu ufać. Mając taką infrastrukturę można wykonać następujący atak w celu przechwycenia ruchu do AWS API.
Other permissions recommend but not required for the enumeration part: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Zakładając, że istnieje AWS VPC z wieloma cloud-native aplikacjami komunikującymi się ze sobą i z AWS API. Ponieważ komunikacja między microservices jest często szyfrowana TLS, musi istnieć private CA wydająca ważne certyfikaty dla tych usług. If ACM-PCA is used do tego i atakującemu uda się uzyskać dostęp do kontroli zarówno route53 jak i prywatnego CA w acm-pca z minimalnym zestawem uprawnień opisanym wyżej, może on przejąć wywołania aplikacji do AWS API, przejmując ich uprawnienia IAM.
This is possible because:
- AWS SDKs do not have Certificate Pinning
- Route53 allows creating Private Hosted Zone and DNS records for AWS APIs domain names
- Private CA in ACM-PCA cannot be restricted to signing only certificates for specific Common Names
Potential Impact: Pośredni privesc przez przechwytywanie wrażliwych informacji w ruchu.
Exploitation
Kroki eksploatacji znajdziesz w oryginalnym badaniu: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Tip
Ucz się & ćwicz AWS Hacking:
Ucz się & ćwicz GCP Hacking:
Ucz się & ćwicz Az Hacking:Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.