AWS - Route53 Privesc
Route53に関する詳細情報は以下を確認してください:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificateこの攻撃を実行するには、ターゲットアカウントにすでにAWS Certificate Manager Private Certificate Authority **(AWS-PCA)**が設定されている必要があり、VPC内のEC2インスタンスはすでにその証明書をインポートして信頼する必要があります。このインフラストラクチャが整っている場合、AWS APIトラフィックを傍受するための次の攻撃を実行できます。
列挙部分に推奨されるが必須ではない他の権限:route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
AWS VPCに複数のクラウドネイティブアプリケーションが相互に通信し、AWS APIと通信していると仮定します。マイクロサービス間の通信はしばしばTLSで暗号化されているため、これらのサービスに対して有効な証明書を発行するためのプライベートCAが必要です。ACM-PCAがそれに使用され、敵がroute53とacm-pcaプライベートCAの両方を制御するアクセスを取得できれば、上記の最小限の権限セットでAWS APIへのアプリケーション呼び出しをハイジャックし、IAM権限を奪うことができます。
これは以下の理由から可能です:
AWS SDKには証明書ピンニングがありません
Route53はAWS APIのドメイン名用にプライベートホステッドゾーンとDNSレコードを作成することを許可します
ACM-PCAのプライベートCAは特定のコモンネームのための証明書のみを署名するように制限できません
潜在的な影響: トラフィック内の機密情報を傍受することによる間接的な権限昇格。
悪用
悪用手順は元の研究で見つけることができます:https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated
