HackTricks CloudAWS - Route53 Privesc
Tip
AWS Hacking’i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın:HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.
For more information about Route53 check:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
Note
Bu saldırıyı gerçekleştirmek için hedef hesapta zaten bir AWS Certificate Manager Private Certificate Authority (AWS-PCA) kurulmuş olmalı ve VPC(ler)deki EC2 instance’ları bu CA’yı güvenilir kabul edecek şekilde sertifikaları içe aktarmış olmalıdır. Bu altyapı mevcutsa, aşağıdaki saldırı AWS API trafiğini ele geçirmek için gerçekleştirilebilir.
Other permissions recommend but not required for the enumeration part: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Varsayalım ki birbirleriyle ve AWS API ile iletişim kuran birden fazla cloud-native uygulamanın bulunduğu bir AWS VPC’si var. Mikroservisler arasındaki iletişim genellikle TLS ile şifrelendiği için bu servisler için geçerli sertifikalar düzenleyecek bir özel CA olmalıdır. If ACM-PCA is used için bu amaçla kullanılıyorsa ve saldırgan yukarıda belirtilen minimum izinlerle hem route53 hem de acm-pca özel CA’yı kontrol etme erişimi elde ederse, uygulamaların AWS API çağrılarını ele geçirerek onların IAM izinlerini devralabilir.
This is possible because:
- AWS SDKs do not have Certificate Pinning
- Route53 allows creating Private Hosted Zone and DNS records for AWS APIs domain names
- Private CA in ACM-PCA cannot be restricted to signing only certificates for specific Common Names
Potential Impact: Trafikteki hassas bilgileri ele geçirerek dolaylı privesc.
Exploitation
Sömürme adımlarını orijinal araştırmada bulun: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Tip
AWS Hacking’i öğrenin ve pratik yapın:
GCP Hacking’i öğrenin ve pratik yapın:
Az Hacking’i öğrenin ve pratik yapın:HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.