AWS - Route53 Privesc
Route53에 대한 자세한 정보는 다음을 참조하세요:
pageAWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate이 공격을 수행하기 위해서는 대상 계정이 이미 계정에 AWS Certificate Manager Private Certificate Authority **(AWS-PCA)**를 설정하고 있어야 하며, VPC의 EC2 인스턴스가 이미 해당 인증서를 신뢰하기 위해 가져와야 합니다. 이 인프라가 구축되어 있다면, 다음과 같은 공격을 통해 AWS API 트래픽을 가로챌 수 있습니다.
열거를 위해 권장되는 다른 권한 (필수는 아님): route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
서로 통신하는 여러 클라우드 네이티브 애플리케이션이 있는 AWS VPC가 있다고 가정해 봅시다. 마이크로서비스 간의 통신은 종종 TLS로 암호화되므로 이러한 서비스에 유효한 인증서를 발급하기 위해 개인 CA가 필요합니다. ACM-PCA가 사용되고 위에서 설명한 최소 권한 집합으로 route53과 acm-pca 개인 CA를 모두 제어할 수 있는 적대자는 애플리케이션 호출을 AWS API로 탈취하여 IAM 권한을 탈취할 수 있습니다.
이것이 가능한 이유는 다음과 같습니다:
AWS SDK에는 Certificate Pinning이 없습니다.
Route53은 AWS API 도메인 이름에 대한 개인 호스팅 영역 및 DNS 레코드를 생성할 수 있습니다.
ACM-PCA의 개인 CA는 특정 공통 이름에 대한 인증서만 서명할 수 없습니다.
잠재적인 영향: 트래픽에서 민감한 정보를 가로채어 간접적으로 권한 상승합니다.
Exploitation
원본 연구에서 공격 단계를 찾아보세요: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
最終更新