Researchers Detail AppSync Cross-Tenant Vulnerability in Amazon Web Services
2022/11/28 TheHackerNews — Amazon Web Services (AWS) は、攻撃者にリソースへの不正アクセスを許す可能性のある、AWS AppSync を悪用したクロステナントの脆弱性に対処した。この脆弱性は、権限昇格の一種である Confused Deputy Problem (混乱した代理の問題) に関連するもので、あるアクションを実行する権限を持たないプログラムが、より権限のあるエンティティに、そのアクションを実行するよう強要するものだ。
2022年9月1日に、Datadog から AWS に報告されたこの脆弱性は、9月6日にパッチがリリースされている。
Datadog の研究者である Nick Frichette は、先週のレポートで、「AppSync の悪用に成功した攻撃者は、他の AWS アカウントの IAM ロールを乗っ取り、被害者のシステムにピボットすることで、これらのアカウントのリソースへのアクセスが可能になる」と述べている。
Amazon は、一連の情報開示の中で、この脆弱性の影響を受けたユーザーはおらず、ユーザーによる対処は不要であるとしている。
同社は、「AWS AppSync の大文字/小文字を区別して解析する処理に問題があり、サービスのクロスアカウント権限検証がバイパスされる。それが、ユーザー・アカウント間で、サービスとしてアクションを起こすために悪用される可能性がある」と説明している。
AWS AppSync は、開発者に対して、複数のデータソースからデータを取得/変更するための GraphQL API とともに、Mobile/Web アプリケーションとクラウドとの間でデータを自動同期する機能を提供する。さらに同サービスは、必要な IAM 権限により、必要な API コールを実行するように設計された特定のロールを介して、他の AWS サービスとの統合に使用できる。
AWS は、ロールのユニークな Amazon Resource Name (ARN) を検証することで、AppSync が任意のロールを引き受けることを防ぐ安全装置を備えている。この脆弱性は、小文字で serviceRoleArn パラメータを渡すことにより、そのチェックが容易に回避されることに起因している。したがって、この問題を悪用して ARN の検証を回避し、別の AWS アカウントのロールの識別子を提供することで、任意のリソースへのアクセスが可能になる。
Frichette は、「この AWS AppSync の脆弱性により、攻撃者はアカウントの境界を越え、 AppSync を信頼する IAM ロールを介して、被害者のアカウントで AWS API コールを実行することができる。この方法により、攻撃者は AppSync を使用している組織に侵入し、それらの権限に関連するリソースにアクセスする可能性があった」と述べている。
AWS の問題に関しては、11月17日にも「Amazon RDS スナップショットの問題:意図しない共有により PII が漏洩」という記事がありました。今回の AppSync の問題と同様に、明確な AWS のバグであり、それらが着実に FIX されていくという展開です。その一方では、2022年1月の「AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが」のように、バグの発見者と AWS 側での評価がズレることもあるようです。クラウドでは、このような見解の相違も多いですね。よろしければ、Amazon + AWS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.