AWS - Route53 Privesc
Para mais informações sobre o Route53, confira:
pageAWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Para realizar esse ataque, a conta de destino deve ter uma Autoridade de Certificação Privada do AWS Certificate Manager (AWS-PCA) configurada na conta, e as instâncias EC2 na(s) VPC(s) devem ter importado os certificados para confiar neles. Com essa infraestrutura em vigor, o seguinte ataque pode ser realizado para interceptar o tráfego da API da AWS.
Outras permissões recomendadas, mas não necessárias para a parte de enumeração: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Supondo que haja uma VPC da AWS com várias aplicações nativas de nuvem se comunicando entre si e com a API da AWS. Como a comunicação entre os microsserviços é frequentemente criptografada com TLS, deve haver uma CA privada para emitir os certificados válidos para esses serviços. Se o ACM-PCA for usado para isso e o adversário conseguir obter acesso para controlar tanto o route53 quanto a ACM-PCA privada CA com o conjunto mínimo de permissões descrito acima, ele pode sequestrar as chamadas de aplicativos para a API da AWS assumindo suas permissões IAM.
Isso é possível porque:
Os SDKs da AWS não possuem Pinning de Certificado
O Route53 permite criar Zona Hospedada Privada e registros DNS para nomes de domínio de APIs da AWS
A CA privada no ACM-PCA não pode ser restrita a assinar apenas certificados para Nomes Comuns específicos
Impacto Potencial: Escalação de privilégios indireta ao interceptar informações sensíveis no tráfego.
Exploração
Encontre os passos de exploração na pesquisa original: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Última actualización