AWS - Route53 Privesc
Route53에 대한 더 많은 정보는 다음을 확인하세요:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate이 공격을 수행하려면 대상 계정에 이미 AWS Certificate Manager Private Certificate Authority **(AWS-PCA)**가 설정되어 있어야 하며, VPC의 EC2 인스턴스는 이미 신뢰할 수 있는 인증서를 가져와야 합니다. 이 인프라가 구축되면 AWS API 트래픽을 가로채기 위한 다음 공격을 수행할 수 있습니다.
열거 부분에 대해 권장되지만 필수는 아닌 다른 권한: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
AWS VPC에 여러 클라우드 네이티브 애플리케이션이 서로 및 AWS API와 통신하고 있다고 가정합니다. 마이크로서비스 간의 통신은 종종 TLS로 암호화되므로 해당 서비스에 대한 유효한 인증서를 발급할 수 있는 개인 CA가 필요합니다. ACM-PCA가 사용되는 경우 적대자가 위에 설명된 최소 권한 세트를 사용하여 route53과 acm-pca 개인 CA를 모두 제어할 수 있는 접근 권한을 얻으면, AWS API에 대한 애플리케이션 호출을 가로챌 수 있습니다. 그들의 IAM 권한을 장악하게 됩니다.
이는 다음과 같은 이유로 가능합니다:
AWS SDK는 Certificate Pinning이 없습니다.
Route53은 AWS API 도메인 이름에 대한 개인 호스팅 영역 및 DNS 레코드를 생성할 수 있습니다.
ACM-PCA의 개인 CA는 특정 공통 이름에 대해서만 인증서를 서명하도록 제한할 수 없습니다.
잠재적 영향: 트래픽에서 민감한 정보를 가로채어 간접적인 권한 상승이 발생할 수 있습니다.
Exploitation
원본 연구에서 취약점 이용 단계를 찾으세요: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated
