AWS - Route53 Privesc

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Vir meer inligting oor Route53, kyk:

AWS - Route53 Enum

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

Om hierdie aanval uit te voer, moet die teikengebruikersrekening reeds 'n AWS Certificate Manager Private Certificate Authority (AWS-PCA) opset in die rekening, en EC2-instanties in die VPC(s) moet reeds die sertifikate ingevoer het om dit te vertrou. Met hierdie infrastruktuur in plek, kan die volgende aanval uitgevoer word om AWS API-verkeer te onderskep.

Ander toestemmings word aanbeveel, maar nie vereis vir die enumerasie nie: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

Gaan uit van 'n AWS VPC met verskeie inheemse skywige toepassings wat met mekaar en met die AWS API praat. Aangesien die kommunikasie tussen die mikrodienste dikwels TLS-versleutel is, moet daar 'n private CA wees om die geldige sertifikate vir daardie dienste uit te reik. As ACM-PCA daarvoor gebruik word en die aanvaller slaag daarin om beheer oor beide route53 en acm-pca private CA te verkry met die minimum stel toestemmings wat hierbo beskryf word, kan dit die oproepe van die toepassings na die AWS API kaap en hul IAM-toestemmings oorneem.

Dit is moontlik omdat:

  • AWS SDK's nie Sertifikaatpennetjie het nie

  • Route53 maak dit moontlik om 'n Private Hosted Zone en DNS-rekords vir AWS API-domeinname te skep

  • Private CA in ACM-PCA kan nie beperk word om slegs sertifikate vir spesifieke Algemene Name uit te reik nie

Potensiële Impak: Indirekte bevoorregte toegang deur die onderskepping van sensitiewe inligting in die verkeer.

Uitbuiting

Vind die uitbuitingsstappe in die oorspronklike navorsing: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated