AWS Elastic IP transfer を悪用する新たな攻撃ベクター:Mitiga が警告

Organizations Warned of New Attack Vector in Amazon Web Services

2022/12/20 InfoSecurity — Amazon Web Services (AWS) に新たに導入された機能を悪用するセキュリティ脅威が、Mitiga の研究者たちにより発見された。この攻撃は、2022年10月に発表された AWS の Amazon Virtual Private Cloud 機能である、Elastic IP transfer を悪用するものだ。この機能は、ある AWS アカウントから別のアカウントへの、Elastic IP アドレスの移行を容易にするものである。したがって、IP の乗っ取りに成功した脅威アクターは、他者における信頼と信用の持ち方に応じて、幅広い攻撃を仕掛けることが可能になる。


転送された特定の Elastic IP アドレスに、許可ルールがある場合には、被害者が使用している他の外部ファイアウォールの背後にある、ネットワーク・エンドポイントとの通信も可能になる。また、マルウェア・キャンペーンの C2 サーバ通信などの、防御ツールのレーダーを回避するような悪質な活動も、Elastic IP アドレスを介して可能になると考えられる。

研究者たちのチームは、「便利な新機能に顕著なことであるが、適切な認証情報と権限を持つ悪意の行為者が、この機能を悪用して被害を与える可能性がある」と警告している。

Mitiga の研究チームのブログには、「便利な新機能によくあることだが、適切な認証情報と権限を持つ悪意の行為者が、この機能を悪用して被害を与える可能性がある。つまり、これまで不可能であった、初期侵害後に発生する、新たな攻撃ベクターである (MITRE ATT&CK Framework にも登場していない)」と指摘している。そのため、組織は攻撃に気づかない可能性がある。

研究者たちは、Elastic IP 転送を悪用する方法を詳述し、脅威アクターが既存の Elastic IP アドレス/ステータスの閲覧を可能にする Identity and Access Management  (IAM) 権限や、Elastic IP アドレスの転送を可能にするための権限が、必要であることを強調している。同チームのブログには、「要するに、この機能を悪用する脅威アクターにとっては、少なくとも2つ、場合によっては3つの、API 権限が必要になる可能性が高い」と記されている。

すでに Mitiga は、この調査結果を AWS のセキュリティ・チームに通知しており、「我々のブログ記事の一部に、AWS から得られたフィードバックを取り入れた」と述べている。そして、研究者たちは、Elastic IP transfer を使用している組織が、この脅威を軽減するために取るべきアクションを、以下のようにまとめている。

  • AWS の service control policies を活用した最小権限の原則の適用
  • EnableAddressTransfer API の使用による検出/応答の自動化
  • AWS の BYOIP (Bring Your Own IP) 機能の利用
  • リバース DNS の保護

研究者たちは、「EIP transfer は非常に便利だが、これまで AWS になかった新しい攻撃の次元が生じる。静的なパブリック IP アドレスを盗むことは、組織に大きな影響を与え、会社の資産だけでなく、会社の顧客も危険にさらすことになる」と結論付けている。

2022年11月には、数百台の Amazon Relational Database Service (RDS) インスタンスが毎月のように流出し、個人情報が広範囲に流出していたことが発覚している。

利便性を追求するクラウドが生み出す、MITRE ATT&CK Framework にも登場していない新たな攻撃ベクターという、とても印象的なトピックですね。なお、最近の Amazon に関する記事としては、文中でも指摘されている、11月17日の「Amazon RDS スナップショットの問題:意図しない共有により PII が漏洩」や、11月28日の「AWS AppSync の脆弱性が FIX:クロステナントでのリソース・アクセスの問題」などがあります。よろしければ、Amazon + AWS で検索も、ご利用ください。

%d bloggers like this: