AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが

AWS fixes security flaws that exposed AWS customer data

2022/01/13 BleepingComputer — Amazon Web Services (AWS) は、他の AWS 顧客アカウントにリンクされたデータへのアクセス/変更を許す、AWS Glue のセキュリティ問題に対処した。AWS Glue は、サーバーレスのクラウド・データ統合サービスであり、アプリ開発/機械学習/分析のための、データの発見/準備/結合を支援するものだ。

この欠陥は、悪用可能な AWS Glue の機能と、内部サービス API の誤設定に起因しており、Orca Security のセキュリティ研究者は、権限を昇格させることで、リージョン内の全サービス・リソースへのアクセスを証明した。

Orca Security のクラウド・セキュリティ研究者である Yanir Tsarimi は、「私たちの調査では、AWS サービスのアカウント内のロールに対する、認証情報を取得するための悪用の可能性がある、AWS Glue の機能を特定できた。これにより、内部サービス API へのフルアクセスが提供された。Glue の内部サービス API のミスコンフィグレーションとの組み合わせにより、アカウント内の権限をさらに拡大し、完全な管理者権限を含むリージョン内サービスの、すべてのリソースへの無制限のアクセスが可能になった」と説明している

今回の調査結果は、Orca Security が所有する AWS アカウントのみを使用して判明したものであり、他の AWS ユーザーが所有する情報やデータにはアクセスしていないと、研究者たちは付け加えている。ただし、研究者たちは、この脆弱性を調査しているときに、他の AWS ユーザーのアカウントの Glue サービスが信頼するロールを装っている (Glue にアクセスできる全アカウントには、このようなロールが、少なくとも1つ存在する)。また、AWS リージョン内の、AWS Glue サービス関連リソース (Glue ジョブ/dev エンドポイント/ワークフロー/クローラー/トリガーなどのメタデータを含む) を照会し、変更することができたと述べている。

AWS Glue サービス・チームは、Orca Security の報告を受けた数時間後に、この欠陥を再現/確認し、翌朝までにグローバル・レベルで、この問題を部分的に緩和した。彼らは、わずか数日で、Superglue の脆弱性に対する完全な緩和策を導入し、AWS Glue の顧客データに対する、潜在的な攻撃者からのアクセスを防いだ。

AWS のセキュリティ・チームは、Orca Security が AWS CloudFormation サービスで発見した、2つ目の脆弱性 (BreakingFormationと名付けられた) にもパッチを適用した。研究者たちによると、この XXE (XML External Entity) の欠陥により、AWS 内部のインフラ・サービスのファイルやクレデンシャルの不正開示が行われたとのことだ。

Orca Security の Tzah Pahima は、「我々の調査チームが、ホスト上で発見されたデータ (内部エンドポイントに関わる認証情報やデータを含む) を調査したところによると、この脆弱性を悪用する攻撃者は、テナントの境界を迂回し、AWS の全リソースに対する、特権的なアクセスを得られたと考えている」と付け加えている。

しかし、AWS の VP である Colm MacCárthaigh は、BreakingFormation のバグが許すのは、ホスト・レベル認証情報へのアクセスだけである。そして、AWS CloudFormation のホストは、すべての AWS アカウントのリソースに対する、アクセス権は持っていないと述べ、Orca Security の主張を否定している。

この脆弱性は、クラウドで多発するミスコンフィグレーションが原因ですが、発見した Orca と AWS の間で深刻度の評価にズレが生じている点が気になります。1月3日の「SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に」もミスコンフィグレーションが原因のようです。よろしければ、2021年12月2日の「AWS と顧客の責任分担モデル:14項目の Shared Responsibility を表にしてみた」をご参照ください。

%d bloggers like this: