HackTricks CloudAWS - Route53 Privesc
Reading time: 3 minutes
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Para mais informações sobre o Route53 veja:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
note
Para realizar esse ataque a conta alvo já deve ter uma AWS Certificate Manager Private Certificate Authority (AWS-PCA) configurada na conta, e instâncias EC2 no(s) VPC(s) devem já ter importado os certificados para confiar nela. Com essa infraestrutura em funcionamento, o seguinte ataque pode ser realizado para interceptar o tráfego da API da AWS.
Outras permissões recomendadas, mas não necessárias para a enumeração: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Assumindo que existe uma AWS VPC com múltiplas aplicações cloud-native se comunicando entre si e com a AWS API. Como a comunicação entre os microserviços costuma ser criptografada com TLS, deve haver uma CA privada para emitir os certificados válidos para esses serviços. Se o ACM-PCA for usado para isso e o adversário conseguir acesso para controlar tanto o route53 quanto a acm-pca private CA com o conjunto mínimo de permissões descrito acima, ele pode sequestrar as chamadas das aplicações à AWS API assumindo as permissões IAM delas.
Isso é possível porque:
- AWS SDKs não possuem Certificate Pinning
- Route53 permite criar Private Hosted Zone e registros DNS para os nomes de domínio das AWS APIs
- Private CA no ACM-PCA não pode ser limitada a assinar somente certificados para Common Names específicos
Impacto Potencial: Privesc indireto ao interceptar informações sensíveis no tráfego.
Exploitation
Find the exploitation steps in the original research: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.