AWS - Route53 Privesc
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації про Route53 перевірте:
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Щоб виконати цю атаку, цільовий обліковий запис повинен вже мати AWS Certificate Manager Private Certificate Authority (AWS-PCA) налаштований в обліковому записі, а EC2 інстанси у VPC(ах) повинні вже імпортувати сертифікати для довіри до нього. З цією інфраструктурою можна виконати наступну атаку для перехоплення трафіку AWS API.
Інші дозволи рекомендуються, але не є обов'язковими для частини перерахування: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Припустимо, що є AWS VPC з кількома хмарними додатками, які спілкуються один з одним і з AWS API. Оскільки зв'язок між мікросервісами часто шифрується за допомогою TLS, має бути приватний CA для видачі дійсних сертифікатів для цих сервісів. Якщо використовується ACM-PCA для цього, і противник отримує доступ до контролю як route53, так і acm-pca приватного CA з мінімальним набором дозволів, описаних вище, він може перехопити виклики додатків до AWS API, захоплюючи їх IAM дозволи.
Це можливо, оскільки:
AWS SDK не має Certificate Pinning
Route53 дозволяє створювати приватні хостингові зони та DNS записи для доменних імен AWS API
Приватний CA в ACM-PCA не може бути обмежений лише підписанням сертифікатів для конкретних загальних імен
Потенційний вплив: Непряме підвищення привілеїв шляхом перехоплення чутливої інформації в трафіку.
Знайдіть кроки експлуатації в оригінальному дослідженні: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)