Amazon Web Services(AWS)は米国時間1月13日、「AWS Glue」と「AWS CloudFormation」で発見されたそれぞれの脆弱性に対処したと発表した。
これらの脆弱性をAWSに報告したOrca Securityによると、攻撃者はGlueの脆弱性を悪用することで、同サービスの他の顧客のデータにアクセスできるようにするリソースの作成が可能になっていたという。
Orcaのリサーチャーらは、この問題がGlue内部の誤設定に起因するものだったとしており、AWSは同日、当該設定を修正したと認めた。
2017年にサービスが開始されたGlueは、大規模データベースを接続するマネージド型のサーバーレスデータ統合サービスであり、開発者はこれを利用することで機械学習(ML)ジョブなどの抽出、変換、ロード(ETL)処理を実行できるようになる。
OrcaのリサーチャーらはGlueのある機能を利用すれば、同サービスにおける自らのアカウント内でロールのクレデンシャルを昇格し、内部サービスのAPIに対する攻撃アクセスが可能になることを発見した。
攻撃者はこういったアクセスと内部の誤設定を用いて、アカウント内の権限を昇格させ、管理者としてのあらゆる特権を入手できる状態だったという。
OrcaのリサーチャーであるYanir Tsarimi氏はブログに、「他のAWS Glue顧客が所有しているデータにもアクセスできるだろうという点を確認した」と記している。
AWSは、Glueの顧客がシステムをアップデートする必要はないとし、今回の問題がGlueを使用していないAWS顧客に影響を与えることはないという点を強調している。
AWSは、「リサーチャーらはAWS Glueの機能を利用することで、このサービス自体の固有クレデンシャルを取得した。また、AWS内部の誤設定によって、これらがAWS Glueサービスのクレデンシャルとして使用できるようになっていた」と記している。
「AWS Glueサービスを使用していない顧客に対してこの問題の影響が及ぶようなことはあり得ない」(AWS)
さらにAWSは、Glueのログを2017年のサービス開始時点にまでさかのぼって監査し、それ以降、脆弱性の影響を受けた顧客データはないことを確認したとしている。
また、Orcaが発見した2つ目の脆弱性により攻撃者は、CloudFormation内のサーバーを攻撃し、AWSインフラストラクチャーサービスとして稼働させることが可能になっていた。CloudFormationは、クラウドリソースのプロビジョニングと管理に関する機能をAWS顧客に提供する製品だ。
この脆弱性はXML外部実体攻撃(XXE)を許すものだ。攻撃者はXXEにより、サーバーを介さずにファイルの読み込みや、ウェブリクエストの実行が可能になる。Orcaによると、この脆弱性によって攻撃者は、「AWS内のあらゆるリソースへの特権的アクセス」を取得できる可能性があったという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
