Amazon の Log4Shell ホットパッチに問題:コンテナ・エスケープと権限昇格が生じる?

Amazon’s Hotpatch for Log4j Flaw Found Vulnerable to Privilege Escalation Bug

2022/04/21 TheHackerNews — Amazon Web Services (AWS) がリリースした Log4Shell 脆弱性に対する ホットパッチだが、コンテナ・エスケープや権限昇格に悪用され、基盤となるホスト制御の乗っ取りを許してしまう問題があるようだ。Palo Alto Networks Unit 42 の研究者である Yuval Avrahami は、今週に発表したレポートにおいて、「コンテナの問題以外にも、このパッチを悪用することで非特権プロセスを特権昇格させ、root コードを実行させることが可能だ」と述べている。

AWS がリリースしたホットフィックス・ソリューションは、Java プロセスを検索して、その場で Log4j 欠陥にパッチ適用するように設計されているが、脆弱性 CVE-2021-3100/CVE-2021-3101/CVE-2022-0070/CVE-2022-0071 (CVSS score: 8.8) を含んでいるとされる。一連の脆弱性は、コンテナに課せられる制約の中で、この新しい Java プロセスが実行されているかどうかが、保証されないという事実に起因するものだ。


Avrahami は、「コンテナの内外を問わず、’java’という名前のバイナリを実行している全てのプロセスが、ホットパッチの候補とみなされる。したがって、悪意のコンテナには、インストールされたホットパッチを騙すために、’java’ という名前の悪意のあるバイナリを取り込み、昇格した特権で起動させる可能性がある」と述べている。

その後のステップで、悪意の ’java’ プロセスにより昇格した特権を武器に、コンテナ・エスケープを行い、感染させたサーバーを完全に制御することが可能となる。この不正な非特権プロセスは、同様の方法で ‘java’ という名前の悪意のバイナリを作成/実行し、ホットパッチ・サービスを騙して、昇格した権限で実行させる可能性がある。

この潜在的な悪用を防ぐためには、可能な限り早急に修正されたホットパッチへとアップグレードすることが推奨されるが、それよりも優先されるのは、Log4Shell 欠陥に対するパッチ適用である。

Avrahami は、「コンテナの用途には、同じマシン上で実行されるアプリケーション間のセキュリティ境界としての利用がある。したがって、コンテナ・エスケープにより、アプリケーション境界を越えた攻撃者がキャンペーンを拡張し、近隣のサービスを侵害する可能性が生じる」と述べている。

Amazon における、Log4Shell ホットパッチですが、Java プロセスを検索して対応していくという発想に問題があるのか、考え方は良くても実装に問題がるのか、そのあたりがよく分かりません。なお、Amazon の Log4j Hotpatch は、2021年12月14日に出ていたようです。最近の Amazon ですが、4月12日に「Amazon RDS の脆弱性:PostgreSQL エクステンションの情報漏えいの問題が FIX」という記事がありました。よろしければ、Amazon で検索も、ご利用ください。

%d bloggers like this: