AWS - Route53 Privesc
Za više informacija o Route53 proverite:
AWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificateDa biste izveli ovaj napad, ciljni nalog već mora imati AWS Certificate Manager Private Certificate Authority (AWS-PCA) postavljen u nalogu, a EC2 instance u VPC-u(ima) već moraju uvesti sertifikate da bi im verovale. Sa ovom infrastrukturom na mestu, može se izvesti sledeći napad da bi se presreli AWS API saobraćaj.
Druga ovlašćenja preporučena, ali nisu obavezna za deo enumeracije: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Pretpostavljajući da postoji AWS VPC sa više cloud-native aplikacija koje međusobno komuniciraju i sa AWS API-jem. Budući da je komunikacija između mikroservisa često šifrovana TLS-om, mora postojati privatna CA koja izdaje validne sertifikate za te servise. Ako se za to koristi ACM-PCA i napadač uspe da dobije pristup kontroli i route53 i acm-pca privatne CA sa minimalnim skupom ovlašćenja opisanim gore, može preuzeti pozive aplikacija ka AWS API-ju i preuzeti njihova IAM ovlašćenja.
Ovo je moguće jer:
AWS SDK-ovi nemaju Certificate Pinning
Route53 omogućava kreiranje privatne Hosted Zone i DNS zapisa za domene AWS API-ja
Privatna CA u ACM-PCA ne može biti ograničena samo na potpisivanje sertifikata za određene Common Names
Potencijalni uticaj: Indirektno povećanje privilegija presretanjem osetljivih informacija u saobraćaju.
Eksploatacija
Pronađite korake eksploatacije u originalnom istraživanju: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated