AWS - Route53 Privesc
Для отримання додаткової інформації про Route53 перегляньте:
pageAWS - Route53 Enumroute53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Для виконання цього атаки цільовий обліковий запис повинен вже мати Приватний Центр Сертифікації Менеджера Сертифікатів AWS (AWS-PCA) налаштований в обліковому записі, а EC2-екземпляри в VPC(ах) повинні вже імпортувати сертифікати для довіри до нього. З цією інфраструктурою на місці, можна виконати наступну атаку для перехоплення трафіку AWS API.
Інші дозволи рекомендовані, але не обов'язкові для частини переліку : route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Припускаючи, що існує AWS VPC з кількома хмарними додатками, які спілкуються один з одним та з AWS API. Оскільки комунікація між мікросервісами часто шифрована TLS, повинен бути приватний ЦС для видачі дійсних сертифікатів для цих служб. Якщо для цього використовується ACM-PCA і зловмисник керує доступом до обох route53 та acm-pca приватного ЦС з мінімальним набором дозволів, описаних вище, він може перехопити виклики додатків до AWS API, захопивши їх дозволи IAM.
Це можливо через:
AWS SDK не має Прикріплення сертифіката
Route53 дозволяє створювати приватну зону хостів та DNS-записи для доменних імен AWS API
Приватний ЦС в ACM-PCA не може бути обмежений на підписання лише сертифікатів для конкретних Загальних Імен
Потенційний вплив: Непряме підвищення привілеїв шляхом перехоплення чутливої інформації в трафіку.
Експлуатація
Знайдіть кроки експлуатації в оригінальному дослідженні: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated