HackTricks CloudAWS - Route53 Privesc
Reading time: 3 minutes
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Para mais informações sobre o Route53, consulte:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
note
Para realizar este ataque, a conta alvo deve já ter uma AWS Certificate Manager Private Certificate Authority (AWS-PCA) configurada na conta, e as instâncias EC2 nas VPC(s) devem já ter importado os certificados para confiá-los. Com essa infraestrutura em vigor, o seguinte ataque pode ser realizado para interceptar o tráfego da API da AWS.
Outras permissões recomendadas, mas não obrigatórias para a parte de enumeração: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Assumindo que há uma VPC da AWS com múltiplas aplicações nativas da nuvem se comunicando entre si e com a API da AWS. Como a comunicação entre os microsserviços é frequentemente criptografada em TLS, deve haver uma CA privada para emitir os certificados válidos para esses serviços. Se o ACM-PCA for usado para isso e o adversário conseguir acesso para controlar tanto o route53 quanto a CA privada do acm-pca com o conjunto mínimo de permissões descrito acima, ele pode sequestrar as chamadas da aplicação para a API da AWS assumindo suas permissões IAM.
Isso é possível porque:
- Os SDKs da AWS não têm Certificate Pinning
- O Route53 permite criar Zona Hospedada Privada e registros DNS para nomes de domínio da API da AWS
- A CA Privada no ACM-PCA não pode ser restrita a assinar apenas certificados para Nomes Comuns específicos
Impacto Potencial: Privesc indireto ao interceptar informações sensíveis no tráfego.
Exploração
Encontre os passos de exploração na pesquisa original: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.