Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?

Researchers Call for ‘CVE’ Approach for Cloud Vulnerabilities

2021/08/07 DarkReading — Black Hat USA 2021 – Las Vegas – これまでの1年間において、クラウド・サービスのセキュリティ上の欠陥や弱点を、徹底的に調査してきた2人の研究者が、Amazon Web Services (AWS) アカウント間の隔離が破られるという、新たな問題を明らかにした。クラウド・セキュリティ企業である Wiz.io の Ami Luttwak と Shir Tamari によると、このようなアカウントをまたぐクラウド・サービスの脆弱性は、AWS 以外にも広く存在する可能性があるという。今回の調査では、クラウド・サービスの利用者にとって、自分が利用しているクラウドのインスタンスが、他の利用者のインスタンスから、必ずしも隔離されているわけではないという、厳しい現実が示唆された。

Shir Tamari は、「AWSのサービスを操作して、他のサービスにアクセスすることが可能であることが示された」とインタビューで答えている。つまり、他のクラウド顧客の S3 ストレージ・バケット内でのデータ読取や、他の顧客のクラウドア・カウントへのデータ送信/保存が、攻撃者により仕掛けられる可能性があると、この研究者は実証した。しかし、研究者が発見した3つのセキュリティ上の欠陥は、AWS Config / AWS CloudTrail / AWS Serverless Config (今年の初めに AWS により修正) の脆弱性のことであり、このクラウド・サービスのセキュリティに関する、より大きな問題を反映しているに過ぎない。

Luttwak と Tamari は、今回の発見により、クラウド事業者と研究者が脆弱性情報を共有するための、CVE タイプのリポジトリの必要性が明らかになったとし、そのための取り組みを進めていこうとしている。Ami Luttwak は、「私たちは、クラウドの脆弱性は業界全体の問題だと考えている。クラウド・サービスでは毎日のように、さまざまな種類の脆弱性が見つかっている」と、昨年末に AWS で見つかったクロス・アカウントの欠陥について語っている。

彼は、「Cloud Security Alliance (CSA) に対して、このコンセプトを提案した。この業界が必要としているのは、クラウドの脆弱性をリストアップしたデータベースであり、言うなればクラウドの CVE システムだ」と述べている。このデータベースは、クラウドの脆弱性をオフィシャルに記録し、その深刻度の評価や、修正やパッチの状況を含むものになる。Shir Tamari は、「脆弱性を特定し、顧客やベンダーが、その問題を追跡できるようにするために、適切な追跡番号や、脆弱性ごとの深刻度スコアなどを持つ必要がある」とインタビューに答えている。Luttwak と Tamari には、クラウドの脆弱性を一元的に追跡する、システムの構築を呼びかけるきっかけとなった瞬間があるという。

彼らが、AWS に報告したクロス・アカウントの不具合を、このクラウド・サービスが修正してから5カ月が経過しても、AWS Serverless Repository バケットの約90%が、不適切に設定された状態にあることが発見された。つまり、AWS が電子メールや AWS Personal Health Dashboard を通じて警告していた、Serverless Repository の新しい「スコーピング条件」設定を、AWS の顧客たちは適用していなかったようだ。Luttwak は、「ほとんどの顧客は、S3 ストレージ・バケットへのフル・アクセスが可能な状態という、不適切な設定のままで使用している」と説明する。しかし、AWS は、研究者の調査結果を別の角度から見ている。AWS の広報担当者は、研究者により報告された問題は脆弱性ではなく、一部の顧客が使用する構成の選択であり、また、他の顧客は使用したくない構成の選択である、と述べている。

さらなる脆弱性の発生が懸念される

Tamari は、「クラウド・セキュリティの研究は新しい分野であり、未知の問題がたくさんある。クラウド・サービスには非常に多くの新機能があり、すべてのモデルやアップデートを追跡するのは、顧客にとって極めて困難だ。また、クラウド・サービスには、誤った設定をしてしまうという高い可能性がある。したがって、Cross-Connect Vulnerability に対して脆弱なクラウド・サービスが数多くあるはずなので、コミュニティに探してもらいたい。このような調査結果を、セキュリティ・コミュニティで共有することで、クラウド・サービスを採用/設定する組織の、意識向上につながることを期待している」と述べている。

Tamari さんの言う Cross-Connect Vulnerability に対して、AWS は一部の顧客が使用する構成の選択であり、また、他の顧客は使用したくない構成の選択であると反論しているようです。なんとなく Tamari さんが正しいように思えますが、これは、ポリシーのぶつかり合いであり、また、議論を深めてほしいところでもあります。この件とは、ダイレクトに関わりませんが、NIST 800-144 : Guidelines on Security and Privacy in Public Cloud Computing のダウンロードが可能です。古いドキュメントですが、よろしければ ご参照ください。

%d bloggers like this: