AWS - Route53 Privesc
Vir meer inligting oor Route53, kyk:
pageAWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificateOm hierdie aanval uit te voer, moet die teikengebruikersrekening reeds 'n AWS Certificate Manager Private Certificate Authority (AWS-PCA) opset in die rekening, en EC2-instanties in die VPC(s) moet reeds die sertifikate ingevoer het om dit te vertrou. Met hierdie infrastruktuur in plek, kan die volgende aanval uitgevoer word om AWS API-verkeer te onderskep.
Ander toestemmings word aanbeveel, maar nie vereis vir die enumerasie nie: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Gaan uit van 'n AWS VPC met verskeie inheemse skywige toepassings wat met mekaar en met die AWS API praat. Aangesien die kommunikasie tussen die mikrodienste dikwels TLS-versleutel is, moet daar 'n private CA wees om die geldige sertifikate vir daardie dienste uit te reik. As ACM-PCA daarvoor gebruik word en die aanvaller slaag daarin om beheer oor beide route53 en acm-pca private CA te verkry met die minimum stel toestemmings wat hierbo beskryf word, kan dit die oproepe van die toepassings na die AWS API kaap en hul IAM-toestemmings oorneem.
Dit is moontlik omdat:
AWS SDK's nie Sertifikaatpennetjie het nie
Route53 maak dit moontlik om 'n Private Hosted Zone en DNS-rekords vir AWS API-domeinname te skep
Private CA in ACM-PCA kan nie beperk word om slegs sertifikate vir spesifieke Algemene Name uit te reik nie
Potensiële Impak: Indirekte bevoorregte toegang deur die onderskepping van sensitiewe inligting in die verkeer.
Uitbuiting
Vind die uitbuitingsstappe in die oorspronklike navorsing: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated