AWS - Route53 Privesc
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para mais informações sobre Route53, confira:
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Para realizar este ataque, a conta alvo deve já ter uma Autoridade Certificadora Privada do AWS Certificate Manager (AWS-PCA) configurada na conta, e as instâncias EC2 nas VPC(s) devem já ter importado os certificados para confiá-los. Com essa infraestrutura em vigor, o seguinte ataque pode ser realizado para interceptar o tráfego da API da AWS.
Outras permissões recomendadas, mas não obrigatórias para a parte de enumeração: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Assumindo que existe uma VPC da AWS com múltiplas aplicações nativas da nuvem se comunicando entre si e com a API da AWS. Como a comunicação entre os microsserviços é frequentemente criptografada em TLS, deve haver uma CA privada para emitir os certificados válidos para esses serviços. Se o ACM-PCA for usado para isso e o adversário conseguir acesso para controlar tanto o route53 quanto a CA privada acm-pca com o conjunto mínimo de permissões descrito acima, ele pode sequestrar as chamadas da aplicação para a API da AWS assumindo suas permissões IAM.
Isso é possível porque:
Os SDKs da AWS não possuem Certificate Pinning
O Route53 permite criar Zona Hospedada Privada e registros DNS para nomes de domínio da API da AWS
A CA Privada no ACM-PCA não pode ser restrita a assinar apenas certificados para Nomes Comuns específicos
Impacto Potencial: Privesc indireto ao interceptar informações sensíveis no tráfego.
Encontre os passos de exploração na pesquisa original: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)