AWS - Route53 Privesc
有关Route53的更多信息,请查看:
AWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate要执行此攻击,目标账户必须已经在账户中设置了一个AWS 证书管理器私有证书颁发机构 (AWS-PCA),并且 VPC 中的 EC2 实例必须已经导入了证书以信任它。有了这样的基础设施,可以执行以下攻击来拦截 AWS API 流量。
其他权限 推荐但不是枚举部分所必需的: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
假设有一个 AWS VPC,其中有多个云原生应用程序彼此通信并与 AWS API 通信。由于微服务之间的通信通常是 TLS 加密的,因此必须有一个私有 CA 为这些服务颁发有效证书。如果使用 ACM-PCA 进行此操作,并且对手设法获得了控制 route53 和 acm-pca 私有 CA 的访问权限,且具有上述最小权限集,那么它可以劫持应用程序调用 AWS API 以接管其 IAM 权限。
这是可能的原因是:
AWS SDK 没有证书固定
Route53 允许为 AWS API 域名创建私有托管区和 DNS 记录
ACM-PCA 中的私有 CA 无法限制仅为特定通用名称签署证书
潜在影响: 通过拦截流量中的敏感信息进行间接权限提升。
利用
在原始研究中找到利用步骤:https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated
