AWS - Route53 Privesc
Route53に関する詳細情報は次をチェックしてください:
pageAWS - Route53 Enumroute53:CreateHostedZone
、route53:ChangeResourceRecordSets
、acm-pca:IssueCertificate
、acm-pca:GetCertificate
route53:CreateHostedZone
、route53:ChangeResourceRecordSets
、acm-pca:IssueCertificate
、acm-pca:GetCertificate
この攻撃を実行するには、対象アカウントにすでにAWS Certificate Manager Private Certificate Authority **(AWS-PCA)**が設定されている必要があり、VPC内のEC2インスタンスがすでにそれを信頼するために証明書をインポートしている必要があります。このインフラが整備されている場合、以下の攻撃を実行してAWS APIトラフィックを傍受できます。
他の権限 列挙のために推奨されますが必須ではありません: route53:GetHostedZone
、route53:ListHostedZones
、acm-pca:ListCertificateAuthorities
、ec2:DescribeVpcs
複数のクラウドネイティブアプリケーションがお互いやAWS APIと通信しているAWS VPCがあると仮定します。マイクロサービス間の通信はしばしばTLSで暗号化されているため、これらのサービスに有効な証明書を発行するためのプライベートCAが必要です。ACM-PCAがそのために使用されており、攻撃者が上記の最小限の権限セットでroute53とacm-pcaプライベートCAの両方を制御するアクセスを取得した場合、アプリケーションのAWS APIへの呼び出しを乗っ取ることができます。
これは可能です因為:
AWS SDKには証明書ピンニングがありません
Route53はAWS APIドメイン名のプライベートホストゾーンとDNSレコードを作成することを許可します
ACM-PCAのプライベートCAは特定の共通名の証明書のみに署名するように制限できません
潜在的な影響: トラフィック内の機密情報を傍受することによる間接的な権限昇格。
悪用
オリジナルの研究で悪用手順を見つける: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
最終更新