AWS - Route53 Privesc
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Vir meer inligting oor Route53 kyk:
AWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Om hierdie aanval uit te voer, moet die teikenrekening reeds 'n AWS Certificate Manager Private Certificate Authority (AWS-PCA) opgestel hê in die rekening, en EC2-instanties in die VPC(s) moet reeds die sertifikate ingevoer het om dit te vertrou. Met hierdie infrastruktuur in plek, kan die volgende aanval uitgevoer word om AWS API-verkeer te onderskep.
Ander toestemmings aanbeveel maar nie vereis vir die enumerasie deel: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Aneem daar is 'n AWS VPC met verskeie cloud-native toepassings wat met mekaar en met AWS API kommunikeer. Aangesien die kommunikasie tussen die mikrodiens dikwels TLS-geënkripteer is, moet daar 'n private CA wees om die geldige sertifikate vir daardie dienste uit te reik. As ACM-PCA gebruik word daarvoor en die teenstander daarin slaag om toegang te verkry om beide route53 en acm-pca private CA te beheer met die minimum stel toestemmings hierbo beskryf, kan dit die toepassingsoproepe na AWS API oorneem en hul IAM-toestemmings oorneem.
Dit is moontlik omdat:
AWS SDK's het nie Sertifikaat Pinning
Route53 laat die skep van Private Hosted Zone en DNS rekords vir AWS API domeinnames toe
Private CA in ACM-PCA kan nie beperk word tot slegs sertifikate vir spesifieke Algemene Name te onderteken nie
Potensiële Impak: Indirekte privesc deur sensitiewe inligting in die verkeer te onderskep.
Vind die eksploitasiestappe in die oorspronklike navorsing: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)