AWS - Route53 Privesc
Для отримання додаткової інформації про Route53 перегляньте:
AWS - Route53 Enumroute53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate
route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificateДля виконання цього атаки обліковий запис цільового облікового запису повинен вже мати Приватний центр сертифікації менеджера сертифікатів AWS (AWS-PCA) налаштований в обліковому записі, а екземпляри EC2 у VPC(и) вже повинні були імпортувати сертифікати для довіри до нього. З цією інфраструктурою на місці можна виконати наступну атаку для перехоплення трафіку AWS API.
Інші дозволи рекомендовані, але не обов'язкові для частини переліку: route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs
Припускаючи, що існує AWS VPC з кількома хмарними додатками, які спілкуються один з одним та з AWS API. Оскільки зв'язок між мікросервісами часто шифрується TLS, повинен бути приватний ЦС для видачі дійсних сертифікатів для цих служб. Якщо для цього використовується ACM-PCA і зловмисник керує доступом до обох route53 та acm-pca приватного ЦС з мінімальним набором дозволів, описаних вище, він може перехопити виклики додатків до AWS API, захопивши їх дозволи IAM.
Це можливо через:
AWS SDK не має Прикріплення сертифіката
Route53 дозволяє створювати приватну зону хостів та DNS-записи для доменних імен AWS API
Приватний ЦС в ACM-PCA не може бути обмежений на підписання лише сертифікатів для конкретних загальних імен
Потенційний вплив: Непряме підвищення привілеїв шляхом перехоплення чутливої інформації в трафіку.
Експлуатація
Знайдіть кроки експлуатації в оригінальному дослідженні: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Last updated
