AWS - Route53 Privesc
Route53 के बारे में अधिक जानकारी के लिए देखें:
AWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificateइस हमले को करने के लिए लक्षित खाता में पहले से ही AWS Certificate Manager Private Certificate Authority (AWS-PCA) सेटअप होना चाहिए, और VPC(s) में EC2 इंस्टेंसेस को पहले से ही इसे विश्वसनीय मानने के लिए प्रमाणपत्र आयात करना चाहिए। इस ढांचे के साथ, निम्नलिखित हमला किया जा सकता है ताकि AWS API ट्रैफिक को आपत्ति किया जा सके।
अन्य अनुमतियाँ सुझाव दी गई हैं लेकिन जाँच के लिए आवश्यक नहीं हैं जांच भाग के लिए: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
मान लिया जाए कि AWS VPC में कई क्लाउड-नेटिव एप्लिकेशन्स हैं जो एक-दूसरे के साथ और AWS API के साथ बातचीत कर रहे हैं। माइक्रोसर्विस के बीच संचार अक्सर TLS एन्क्रिप्टेड होता है इसलिए उन सेवाओं के लिए वैध प्रमाणपत्र जारी करने के लिए एक निजी सीए की आवश्यकता है। यदि ACM-PCA उसके लिए उपयोग किया जाता है और विरोधी route53 और acm-pca निजी सीए को नियंत्रण में प्राप्त करने में सफल होता है तो ऊपर वर्णित न्यूनतम अनुमतियों के सेट के साथ वह एप्लिकेशन कॉल्स को AWS API पर हिजैक कर सकता है और उनकी IAM अनुमतियों को अधिकार में ले सकता है।
यह संभव है क्योंकि:
AWS SDKs में प्रमाणपत्र पिनिंग नहीं है
Route53 AWS API डोमेन नामों के लिए निजी होस्टेड जोन और DNS रिकॉर्ड बनाने की अनुमति देता है
ACM-PCA में निजी सीए केवल विशिष्ट सामान्य नामों के लिए प्रमाणपत्र हस्ताक्षरित करने के लिए प्रतिबंधित नहीं हो सकता
संभावित प्रभाव: ट्रैफिक में संवेदनशील जानकारी को आपत्ति करके अप्रत्यक्ष विशेषाधिकार।
शोषण
मूल अनुसंधान में शोषण चरण खोजें: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated
