AWS - Route53 Privesc

htARTE（HackTricks AWS Red Team Expert） を通じてゼロからヒーローまでAWSハッキングを学ぶ！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスウォッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveでフォローする。
HackTricks（https://github.com/carlospolop/hacktricks）とHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

Route53に関する詳細情報は次をチェックしてください：

`route53:CreateHostedZone`、`route53:ChangeResourceRecordSets`、`acm-pca:IssueCertificate`、`acm-pca:GetCertificate`

この攻撃を実行するには、対象アカウントにすでにAWS Certificate Manager Private Certificate Authority **(AWS-PCA)**が設定されている必要があり、VPC内のEC2インスタンスがすでにそれを信頼するために証明書をインポートしている必要があります。このインフラが整備されている場合、以下の攻撃を実行してAWS APIトラフィックを傍受できます。

他の権限 列挙のために推奨されますが必須ではありません: route53:GetHostedZone、route53:ListHostedZones、acm-pca:ListCertificateAuthorities、ec2:DescribeVpcs

複数のクラウドネイティブアプリケーションがお互いやAWS APIと通信しているAWS VPCがあると仮定します。マイクロサービス間の通信はしばしばTLSで暗号化されているため、これらのサービスに有効な証明書を発行するためのプライベートCAが必要です。ACM-PCAがそのために使用されており、攻撃者が上記の最小限の権限セットでroute53とacm-pcaプライベートCAの両方を制御するアクセスを取得した場合、アプリケーションのAWS APIへの呼び出しを乗っ取ることができます。

これは可能です因為:

AWS SDKには証明書ピンニングがありません
Route53はAWS APIドメイン名のプライベートホストゾーンとDNSレコードを作成することを許可します
ACM-PCAのプライベートCAは特定の共通名の証明書のみに署名するように制限できません

潜在的な影響: トラフィック内の機密情報を傍受することによる間接的な権限昇格。

悪用

オリジナルの研究で悪用手順を見つける: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

前へAWS - Redshift Privesc 次へAWS - SNS Privesc

最終更新 3 か月前

route53:CreateHostedZone、route53:ChangeResourceRecordSets、acm-pca:IssueCertificate、acm-pca:GetCertificate

悪用

`route53:CreateHostedZone`、`route53:ChangeResourceRecordSets`、`acm-pca:IssueCertificate`、`acm-pca:GetCertificate`