AWS - Route53 Privesc
AWS 해킹을 배우고 실습하세요: HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹을 배우고 실습하세요: HackTricks Training GCP Red Team Expert (GRTE)
Route53에 대한 자세한 정보는 다음을 확인하십시오:
AWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate이 공격을 수행하려면 대상 계정이 이미 계정에 설정된 AWS Certificate Manager Private Certificate Authority **(AWS-PCA)**가 있어야 하며, VPC에 있는 EC2 인스턴스는 이미 해당 인증서를 신뢰하기 위해 가져와야 합니다. 이 인프라가 구축된 상태에서 다음 공격을 수행하여 AWS API 트래픽을 가로챌 수 있습니다.
다른 권한 열거를 위해 권장되지만 필수는 아님: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
서로 통신하고 AWS API와 통신하는 여러 클라우드 네이티브 애플리케이션이 있는 AWS VPC가 있다고 가정합니다. 마이크로서비스 간 통신은 종종 TLS로 암호화되어 있으므로 해당 서비스에 대한 유효한 인증서를 발급하는 개인 CA가 있어야 합니다. ACM-PCA가 사용되고 공격자가 route53 및 acm-pca 개인 CA를 모두 제어할 수 있는 최소 권한 집합으로 악용할 수 있다면, 애플리케이션 호출을 가로채 AWS API의 IAM 권한을 탈취할 수 있습니다.
이것이 가능한 이유는:
AWS SDK에는 Certificate Pinning이 없음
Route53은 AWS API 도메인 이름을 위한 개인 호스팅 존 및 DNS 레코드를 생성할 수 있음
ACM-PCA의 개인 CA는 특정 공통 이름에 대해 서명하는 것으로 제한할 수 없음
잠재적인 영향: 트래픽에서 민감한 정보를 가로채어 간접적인 권한 상승.
Exploitation
원본 연구에서 공격 단계를 찾아보세요: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
AWS 해킹을 배우고 실습하세요: HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹을 배우고 실습하세요: HackTricks Training GCP Red Team Expert (GRTE)
Last updated