編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向

AWS、「Glue」と「CloudFormation」の脆弱性に対処

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2022-01-17 11:47

 Amazon Web Services(AWS)は米国時間1月13日、「AWS Glue」と「AWS CloudFormation」で発見されたそれぞれの脆弱性に対処したと発表した。

 これらの脆弱性をAWSに報告したOrca Securityによると、攻撃者はGlueの脆弱性を悪用することで、同サービスの他の顧客のデータにアクセスできるようにするリソースの作成が可能になっていたという。

 Orcaのリサーチャーらは、この問題がGlue内部の誤設定に起因するものだったとしており、AWSは同日、当該設定を修正したと認めた。

 2017年にサービスが開始されたGlueは、大規模データベースを接続するマネージド型のサーバーレスデータ統合サービスであり、開発者はこれを利用することで機械学習(ML)ジョブなどの抽出、変換、ロード(ETL)処理を実行できるようになる。

 OrcaのリサーチャーらはGlueのある機能を利用すれば、同サービスにおける自らのアカウント内でロールのクレデンシャルを昇格し、内部サービスのAPIに対する攻撃アクセスが可能になることを発見した。

 攻撃者はこういったアクセスと内部の誤設定を用いて、アカウント内の権限を昇格させ、管理者としてのあらゆる特権を入手できる状態だったという。

 OrcaのリサーチャーであるYanir Tsarimi氏はブログに、「他のAWS Glue顧客が所有しているデータにもアクセスできるだろうという点を確認した」と記している

 AWSは、Glueの顧客がシステムをアップデートする必要はないとし、今回の問題がGlueを使用していないAWS顧客に影響を与えることはないという点を強調している。

 AWSは、「リサーチャーらはAWS Glueの機能を利用することで、このサービス自体の固有クレデンシャルを取得した。また、AWS内部の誤設定によって、これらがAWS Glueサービスのクレデンシャルとして使用できるようになっていた」と記している。

 「AWS Glueサービスを使用していない顧客に対してこの問題の影響が及ぶようなことはあり得ない」(AWS)

 さらにAWSは、Glueのログを2017年のサービス開始時点にまでさかのぼって監査し、それ以降、脆弱性の影響を受けた顧客データはないことを確認したとしている。

 また、Orcaが発見した2つ目の脆弱性により攻撃者は、CloudFormation内のサーバーを攻撃し、AWSインフラストラクチャーサービスとして稼働させることが可能になっていた。CloudFormationは、クラウドリソースのプロビジョニングと管理に関する機能をAWS顧客に提供する製品だ。

 この脆弱性はXML外部実体攻撃(XXE)を許すものだ。攻撃者はXXEにより、サーバーを介さずにファイルの読み込みや、ウェブリクエストの実行が可能になる。Orcaによると、この脆弱性によって攻撃者は、「AWS内のあらゆるリソースへの特権的アクセス」を取得できる可能性があったという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]