AWS - Route53 Privesc
Kwa habari zaidi kuhusu Route53 angalia:
pageAWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Ili kutekeleza shambulio hili akaunti ya lengo lazima tayari iwe na Mamlaka ya Cheti ya Kibinafsi ya Meneja wa Cheti wa AWS (AWS-PCA) imewekwa kwenye akaunti, na mifano ya EC2 katika VPC(s) lazima tayari ziwe zimeingiza vyeti kuamini hiyo. Na miundombinu hii ikiwa mahali, shambulio lifuatalo linaweza kutekelezwa kwa kuvizia trafiki ya API ya AWS.
Ruhusa nyingine zilizopendekezwa lakini sio lazima kwa sehemu ya uchambuzi ni: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Kukiwa na VPC ya AWS na programu nyingi za asili za wingu zinazozungumza na nyingine na na API ya AWS. Kwa kuwa mawasiliano kati ya huduma ndogo za wingu mara nyingi yamefichwa kwa TLS lazima kuwe na CA ya kibinafsi kutoa vyeti halali kwa huduma hizo. Ikiwa ACM-PCA inatumika kwa hilo na mshambuliaji anafanikiwa kupata upatikanaji wa kudhibiti route53 na ACM-PCA CA ya kibinafsi na seti ya chini ya ruhusa zilizoelezwa hapo juu, inaweza kuchukua simu za maombi ya programu kwa API ya AWS kuchukua ruhusa zao za IAM.
Hii inawezekana kwa sababu:
AWS SDKs hawana Kufunga Cheti
Route53 inaruhusu kuunda Eneo la Kuhifadhiwa Kibinafsi na rekodi za DNS kwa majina ya kikoa ya AWS ya API
CA ya Kibinafsi katika ACM-PCA haiwezi kuzuiliwa kusaini vyeti tu kwa Majina ya Kawaida maalum
Matokeo Yanayowezekana: Ukarabati wa moja kwa moja kwa kuvizia habari nyeti katika trafiki.
Utekaji
Pata hatua za utekelezaji katika utafiti wa awali: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated