AWS - Route53 Privesc
Route53 hakkında daha fazla bilgi için:
AWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Bu saldırıyı gerçekleştirmek için hedef hesabın zaten hesapta AWS Sertifika Yöneticisi Özel Sertifika Yetkilisi (AWS-PCA) kurulu olmalı ve VPC(ler) içindeki EC2 örneklerinin sertifikaları güvenmesi için önceden içe aktarılmış olmalıdır. Bu altyapı mevcut olduğunda, aşağıdaki saldırı AWS API trafiğini ele geçirmek için gerçekleştirilebilir.
Diğer izinler enumarasyon için önerilir ancak zorunlu değildir: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Bir AWS VPC'sinin birden çok bulut doğal uygulamasının birbirleriyle ve AWS API'yle iletişim kurduğu varsayılır. Mikro servisler arasındaki iletişim genellikle TLS şifrelemeli olduğundan, bu hizmetler için geçerli sertifikaları vermek için özel bir CA olmalıdır. ACM-PCA bunun için kullanılıyorsa ve saldırgan, yukarıda açıklanan minimum izin setiyle hem route53'ü hem de acm-pca özel CA'yı kontrol etme erişimine sahip olursa, uygulama çağrılarını AWS API'ye ele geçirebilir ve IAM izinlerini ele geçirebilir.
Bu mümkün çünkü:
AWS SDK'ları Sertifika Pinleme özelliğine sahip değildir.
Route53, AWS API etki alan adları için Özel Barındırılan Bölge ve DNS kayıtları oluşturmaya izin verir.
ACM-PCA'daki Özel CA, yalnızca belirli Ortak Adlar için sertifika imzalamakla sınırlanamaz.
Potansiyel Etki: Trafikteki hassas bilgileri ele geçirerek dolaylı olarak yetki yükseltme.
Sömürü
Sömürü adımlarını orijinal araştırmada bulabilirsiniz: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated