AWS - Route53 Privesc

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Za više informacija o Route53 pogledajte:

AWS - Route53 Enum

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

Note

Da biste izveli ovaj napad, ciljni nalog mora već imati AWS Certificate Manager Private Certificate Authority (AWS-PCA) podešen u nalogu, a EC2 instance u VPC(s) moraju već biti uvezle sertifikate kako bi mu verovale. Sa ovom infrastrukturom na mestu, sledeći napad se može izvesti kako bi se presreo AWS API saobraćaj.

Ostale dozvole koje se preporučuju ali nisu potrebne za deo enumeracije: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

Pod pretpostavkom da postoji AWS VPC sa više cloud-native aplikacija koje komuniciraju međusobno i sa AWS API. Pošto je komunikacija između mikroservisa često TLS šifrovana, mora postojati privatni CA koji izdaje važeće sertifikate za te servise. If ACM-PCA is used za to i napadač uspe da dobije access to control both route53 and acm-pca private CA sa minimalnim skupom permisija opisanih iznad, može hijack the application calls to AWS API preuzimajući njihove IAM permisije.

Ovo je moguće zato što:

• AWS SDKs nemaju Certificate Pinning
• Route53 omogućava kreiranje Private Hosted Zone i DNS zapisa za nazive domena AWS API-ja
• Private CA u ACM-PCA se ne može ograničiti da potpisuje sertifikate samo za određene Common Names

Potencijalni uticaj: Indirect privesc presretanjem osetljivih informacija u saobraćaju.

Eksploatacija

Pronađite korake eksploatacije u originalnom istraživanju: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.