AWS - Route53 Privesc

支持 HackTricks

有关 Route53 的更多信息,请查看:

AWS - Route53 Enum

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

要执行此攻击,目标账户必须已经在账户中设置了 AWS 证书管理器私有证书颁发机构 (AWS-PCA),并且 VPC 中的 EC2 实例必须已经导入证书以信任它。具备此基础设施后,可以执行以下攻击以拦截 AWS API 流量。

其他权限 建议但不是枚举 部分所需:route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

假设有一个 AWS VPC,多个云原生应用程序相互通信并与 AWS API 通信。由于微服务之间的通信通常是 TLS 加密的,因此必须有一个私有 CA 来为这些服务颁发有效证书。如果使用 ACM-PCA,并且对手设法获得 控制 route53 和 acm-pca 私有 CA 的访问权限,并具备上述最小权限集,则可以 劫持应用程序对 AWS API 的调用,接管其 IAM 权限。

这是可能的,因为:

  • AWS SDK 不支持 证书钉扎

  • Route53 允许为 AWS API 域名创建私有托管区域和 DNS 记录

  • ACM-PCA 中的私有 CA 不能限制仅为特定通用名称签署证书

潜在影响: 通过拦截流量中的敏感信息实现间接权限提升。

利用

在原始研究中找到利用步骤:https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

支持 HackTricks

Last updated