AWS - Route53 Privesc
Para mais informações sobre Route53, confira:
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificatePara realizar este ataque, a conta alvo deve já ter uma Autoridade Certificadora Privada do AWS Certificate Manager (AWS-PCA) configurada na conta, e as instâncias EC2 nas VPC(s) devem já ter importado os certificados para confiá-los. Com essa infraestrutura em vigor, o seguinte ataque pode ser realizado para interceptar o tráfego da API da AWS.
Outras permissões recomendadas, mas não obrigatórias para a parte de enumeração: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Assumindo que há uma VPC da AWS com múltiplas aplicações nativas da nuvem se comunicando entre si e com a API da AWS. Como a comunicação entre os microsserviços é frequentemente criptografada em TLS, deve haver uma CA privada para emitir os certificados válidos para esses serviços. Se o ACM-PCA for usado para isso e o adversário conseguir acessar o controle tanto do route53 quanto da CA privada do acm-pca com o conjunto mínimo de permissões descrito acima, ele pode sequestar as chamadas da aplicação para a API da AWS assumindo suas permissões IAM.
Isso é possível porque:
Os SDKs da AWS não possuem Certificate Pinning
O Route53 permite criar Zona Hospedada Privada e registros DNS para nomes de domínio da API da AWS
A CA Privada no ACM-PCA não pode ser restrita a assinar apenas certificados para Nomes Comuns específicos
Impacto Potencial: Privesc indireto ao interceptar informações sensíveis no tráfego.
Exploração
Encontre os passos de exploração na pesquisa original: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated
