AWS、「Glue」と「CloudFormation」の脆弱性に対処

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2022-01-17 11:47

 Amazon Web Services(AWS)は米国時間1月13日、「AWS Glue」と「AWS CloudFormation」で発見されたそれぞれの脆弱性に対処したと発表した。

 これらの脆弱性をAWSに報告したOrca Securityによると、攻撃者はGlueの脆弱性を悪用することで、同サービスの他の顧客のデータにアクセスできるようにするリソースの作成が可能になっていたという。

 Orcaのリサーチャーらは、この問題がGlue内部の誤設定に起因するものだったとしており、AWSは同日、当該設定を修正したと認めた。

 2017年にサービスが開始されたGlueは、大規模データベースを接続するマネージド型のサーバーレスデータ統合サービスであり、開発者はこれを利用することで機械学習(ML)ジョブなどの抽出、変換、ロード(ETL)処理を実行できるようになる。

 OrcaのリサーチャーらはGlueのある機能を利用すれば、同サービスにおける自らのアカウント内でロールのクレデンシャルを昇格し、内部サービスのAPIに対する攻撃アクセスが可能になることを発見した。

 攻撃者はこういったアクセスと内部の誤設定を用いて、アカウント内の権限を昇格させ、管理者としてのあらゆる特権を入手できる状態だったという。

 OrcaのリサーチャーであるYanir Tsarimi氏はブログに、「他のAWS Glue顧客が所有しているデータにもアクセスできるだろうという点を確認した」と記している

 AWSは、Glueの顧客がシステムをアップデートする必要はないとし、今回の問題がGlueを使用していないAWS顧客に影響を与えることはないという点を強調している。

 AWSは、「リサーチャーらはAWS Glueの機能を利用することで、このサービス自体の固有クレデンシャルを取得した。また、AWS内部の誤設定によって、これらがAWS Glueサービスのクレデンシャルとして使用できるようになっていた」と記している。

 「AWS Glueサービスを使用していない顧客に対してこの問題の影響が及ぶようなことはあり得ない」(AWS)

 さらにAWSは、Glueのログを2017年のサービス開始時点にまでさかのぼって監査し、それ以降、脆弱性の影響を受けた顧客データはないことを確認したとしている。

 また、Orcaが発見した2つ目の脆弱性により攻撃者は、CloudFormation内のサーバーを攻撃し、AWSインフラストラクチャーサービスとして稼働させることが可能になっていた。CloudFormationは、クラウドリソースのプロビジョニングと管理に関する機能をAWS顧客に提供する製品だ。

 この脆弱性はXML外部実体攻撃(XXE)を許すものだ。攻撃者はXXEにより、サーバーを介さずにファイルの読み込みや、ウェブリクエストの実行が可能になる。Orcaによると、この脆弱性によって攻撃者は、「AWS内のあらゆるリソースへの特権的アクセス」を取得できる可能性があったという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]