AWS - Route53 Privesc

Για περισσότερες πληροφορίες σχετικά με το Route53 ελέγξτε:

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

Άλλες άδειες συνιστώνται αλλά δεν απαιτούνται για το μέρος της αρίθμησης: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

Υποθέτοντας ότι υπάρχει ένα AWS VPC με πολλές cloud-native εφαρμογές που επικοινωνούν μεταξύ τους και με το AWS API. Δεδομένου ότι η επικοινωνία μεταξύ των μικροϋπηρεσιών είναι συχνά κρυπτογραφημένη με TLS, πρέπει να υπάρχει μια ιδιωτική CA για να εκδώσει τα έγκυρα πιστοποιητικά για αυτές τις υπηρεσίες. Εάν χρησιμοποιηθεί το ACM-PCA γι' αυτό και ο αντίπαλος καταφέρει να αποκτήσει πρόσβαση για να ελέγξει τόσο το route53 όσο και το acm-pca private CA με το ελάχιστο σύνολο αδειών που περιγράφονται παραπάνω, μπορεί να παρακάμψει τις κλήσεις εφαρμογής στο AWS API αναλαμβάνοντας τις IAM άδειές τους.

Αυτό είναι δυνατό επειδή:

• Τα AWS SDKs δεν έχουν Certificate Pinning

• Το Route53 επιτρέπει τη δημιουργία Ιδιωτικής Ζώνης Φιλοξενίας και DNS records για τα ονόματα τομέα των AWS APIs

• Η Ιδιωτική CA στο ACM-PCA δεν μπορεί να περιοριστεί στην υπογραφή μόνο πιστοποιητικών για συγκεκριμένα Κοινά Ονόματα

Πιθανές Επιπτώσεις: Έμμεσο privesc με την παγίδευση ευαίσθητων πληροφοριών στην κίνηση.

Εκμετάλλευση

Βρείτε τα βήματα εκμετάλλευσης στην αρχική έρευνα: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/