AWS - Route53 Privesc
有关 Route53 的更多信息,请查看:
AWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
要执行此攻击,目标账户必须已经在账户中设置了 AWS 证书管理器私有证书颁发机构 (AWS-PCA),并且 VPC 中的 EC2 实例必须已经导入证书以信任它。具备此基础设施后,可以执行以下攻击以拦截 AWS API 流量。
其他权限 建议但不是枚举 部分所需:route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
假设有一个 AWS VPC,多个云原生应用程序相互通信并与 AWS API 通信。由于微服务之间的通信通常是 TLS 加密的,因此必须有一个私有 CA 来为这些服务颁发有效证书。如果使用 ACM-PCA,并且对手设法获得 控制 route53 和 acm-pca 私有 CA 的访问权限,并具备上述最小权限集,则可以 劫持应用程序对 AWS API 的调用,接管其 IAM 权限。
这是可能的,因为:
AWS SDK 不支持 证书钉扎
Route53 允许为 AWS API 域名创建私有托管区域和 DNS 记录
ACM-PCA 中的私有 CA 不能限制仅为特定通用名称签署证书
潜在影响: 通过拦截流量中的敏感信息实现间接权限提升。
利用
在原始研究中找到利用步骤:https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated