AWS - Route53 Privesc
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Route53に関する詳細情報は以下を確認してください:
AWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
この攻撃を実行するには、ターゲットアカウントにすでにAWS Certificate Manager Private Certificate Authority **(AWS-PCA)**が設定されている必要があり、VPC内のEC2インスタンスはすでにその証明書をインポートして信頼する必要があります。このインフラストラクチャが整った状態で、AWS APIトラフィックを傍受するための次の攻撃を実行できます。
列挙部分に推奨されるが必須ではない他の権限:route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
AWS VPCに複数のクラウドネイティブアプリケーションが相互に通信し、AWS APIと通信していると仮定します。マイクロサービス間の通信はしばしばTLSで暗号化されているため、これらのサービスに対して有効な証明書を発行するためのプライベートCAが必要です。ACM-PCAがそれに使用され、敵がroute53とacm-pcaプライベートCAの両方を制御するアクセスを取得し、上記の最小限の権限セットを持っている場合、AWS APIへのアプリケーション呼び出しをハイジャックし、IAM権限を奪うことができます。
これは以下の理由から可能です:
AWS SDKは証明書ピンニングを持っていない
Route53はAWS APIのドメイン名用にプライベートホステッドゾーンとDNSレコードを作成することを許可している
ACM-PCAのプライベートCAは特定のコモンネームのための証明書のみを署名するように制限できない
潜在的な影響: トラフィック内の機密情報を傍受することによる間接的な権限昇格。
悪用手順は元の研究で見つけることができます:https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)