Amazon RDS の脆弱性:PostgreSQL エクステンションの情報漏えいの問題が FIX

Amazon RDS Vulnerability Led to Exposure of Credentials

2022/04/12 SecurityWeek — 月曜日に Amazon Web Services (AWS) は、Amazon Relational Database Service (RDS) の脆弱性に対応したことについて、そして、内部認証情報の漏洩につながる可能性があることについて発表した。Amazon RDS は、MySQL や PostgreSQL をサポートする、AWS 独自のデータベースエンジン Amazon Aurora などの、複数のデータベース・エンジンをサポートするマネージド・データベース・サービスである。

今回のセキュリティ問題は、Aurora PostgreSQL エンジンにおいて、より具体的に言うと、サードパーティのオープンソース PostgreSQL Extension の log_fdw において確認されたものである。この機能によりユーザーは、SQL インターフェースを活用し、データベース・エンジンのログへのアクセスや、外部テーブルの構築を可能にする。

Lightspin の研究者である Gafnit Amiga は、Amazon Aurora エンジンの潜在的な脆弱性を探していたところ、log_fdw Extension の検証をバイパスし、内部認証情報を含むシステム・ファイルなどに、不正アクセスする可能性があることを発見した。

AWS によると、流出した認証情報は「同社の Aurora クラスタ固有」のものであり、他のクラスタや顧客に対する侵害には使用されないとのことだ。

AWS は、「しかし、この問題を悪用できる、高い権限を持つローカル・データベース・ユーザーは、自身のクラスタでホストされるデータへの追加アクセスや、データベースを実行している基盤ホスト OS 内のファイルの読み取りに到達できる可能性がある」と説明している。

また AWS は、Aurora PostgreSQL と Amazon RDS for PostgreSQL の双方に、log_fdw Extension がプレ・インストールされていると指摘する。このバグを引き起こすことが可能な特権的な認証ユーザーは、漏洩した認証情報を使って、データベース・リソースへの昇格アクセスを得ることが可能になる。

同社は、「その場合、RDS の内部サービスへのアクセスや、データベースや AWS のアカウント間を移動したりするために、この証明書は使用できない。この認証情報は、認証情報が取得された Aurora データベース・クラスタに関連する、リソースにアクセスするためにのみ使用できる」と付け加えている。

2021年12月9日に Amazon に、この脆弱性について、研究者から報告を受けた。12月14日にイニシャル・パッチがリリースされたが、すべての顧客に修正を展開するために、約3カ月が費やされた。同社は、Aurora PostgreSQL と RDS for PostgreSQL をアップデートして、この問題を解決した。それと同時に、一連のマイナー・バージョンを非推奨とし、これらのバージョンを用いる新しいインスタンスの作成を停止した。

このブログを始めて1年が経ちましたが、Amazon AWS に課する問題を指摘する記事が結構ありました。2021年9月3日の「6万以上のパークドメインに危機:レジストラだけではなく AWS にも問題が」といった間接的なものから、2022年1月13日の「AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが」という直接的にものまで、いろいろとあります。よろしければ、Amazon で検索も、ご利用ください。なお、2021年12月2日の「AWS と顧客の責任分担モデル:14項目の Shared Responsibility を表にしてみた」も良くまとまった記事です。

%d bloggers like this: