AWS - Route53 Privesc

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Za više informacija o Route53 proverite:

AWS - Route53 Enum

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

Da biste izveli ovaj napad, ciljni nalog već mora imati AWS Certificate Manager Private Certificate Authority (AWS-PCA) postavljen u nalogu, a EC2 instance u VPC-u(ima) već moraju uvesti sertifikate da bi im verovale. Sa ovom infrastrukturom na mestu, može se izvesti sledeći napad da bi se presreli AWS API saobraćaj.

Druga ovlašćenja preporučena, ali nisu obavezna za deo enumeracije: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

Pretpostavljajući da postoji AWS VPC sa više cloud-native aplikacija koje međusobno komuniciraju i sa AWS API-jem. Budući da je komunikacija između mikroservisa često šifrovana TLS-om, mora postojati privatna CA koja izdaje validne sertifikate za te servise. Ako se za to koristi ACM-PCA i napadač uspe da dobije pristup kontroli i route53 i acm-pca privatne CA sa minimalnim skupom ovlašćenja opisanim gore, može preuzeti pozive aplikacija ka AWS API-ju i preuzeti njihova IAM ovlašćenja.

Ovo je moguće jer:

  • AWS SDK-ovi nemaju Certificate Pinning

  • Route53 omogućava kreiranje privatne Hosted Zone i DNS zapisa za domene AWS API-ja

  • Privatna CA u ACM-PCA ne može biti ograničena samo na potpisivanje sertifikata za određene Common Names

Potencijalni uticaj: Indirektno povećanje privilegija presretanjem osetljivih informacija u saobraćaju.

Eksploatacija

Pronađite korake eksploatacije u originalnom istraživanju: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Last updated