AWS - Route53 Privesc
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Za više informacija o Route53 proverite:
AWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificateDa bi se izvršio ovaj napad, ciljni nalog mora već imati AWS Certificate Manager Private Certificate Authority (AWS-PCA) postavljen u nalogu, a EC2 instance u VPC-ima moraju već biti uvezle sertifikate da bi ih poverovale. Sa ovom infrastrukturom, može se izvršiti sledeći napad za presretanje AWS API saobraćaja.
Ostale dozvole preporučene, ali neobavezne za deo enumeracije: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Pretpostavljajući da postoji AWS VPC sa više cloud-native aplikacija koje komuniciraju međusobno i sa AWS API. Pošto je komunikacija između mikroservisa često TLS enkriptovana, mora postojati privatna CA koja izdaje važeće sertifikate za te usluge. Ako se koristi ACM-PCA za to i protivnik uspe da dobije pristup kontroli i route53 i acm-pca privatne CA sa minimalnim skupom dozvola opisanih iznad, može preuzeti aplikacione pozive ka AWS API preuzimajući njihove IAM dozvole.
To je moguće jer:
AWS SDK-ovi nemaju Certificate Pinning
Route53 omogućava kreiranje Privatne Hosted Zone i DNS zapisa za imena domena AWS API
Privatna CA u ACM-PCA ne može biti ograničena na potpisivanje samo sertifikata za specifične Zajedničke Nazive
Potencijalni uticaj: Indirektni privesc presretanjem osetljivih informacija u saobraćaju.
Pronađite korake eksploatacije u originalnom istraživanju: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
