Researcher Exposes Critical Vulnerabilities in Google Cloud
2024/10/30 SecurityOnline — 先日に公表された、DATADOG の著名なクラウド セキュリティー研究者 Christophe Tafani-Dereeper の詳細な分析が示すのは、Google Cloud のデフォルト・サービス・アカウント内の深刻な脆弱性により、クラウド環境が危険に直面している状況である。Tafani-Dereeper の調査結果は、誤って過度に設定/提供されたアクセスを、それらのアカウントが極めて容易に許可することで、クラウド・リソースを悪用する攻撃者に道を開くと指摘するものだ。
DATADOG の Tafani-Dereeper が指摘するのは、「ワークロード ID を安全に割り当て管理することは、クラウド環境を保護するために不可欠である。つまり、Google Cloud 内では、堅牢な ID 管理が重要である」という点だ。
Google Cloud のデフォルト・サービス・アカウントへのアプローチにより、Compute Engine インスタンスと Kubernetes クラスタの ID 割り当てが簡素化される。ただし、Tafani-Dereeper が説明するように、デフォルト・コンフィグでは、Google Cloud ワークロードへの特権権限が提供されることが多く、それを変更せずに放置すると危険な攻撃ベクターが生み出される可能性がある。これらのアカウントを悪用する攻撃者は、Google Cloud Storage (GCS) バケットや BigQuery テーブルから機密情報にアクセスし、権限を昇格させ、より広範なアクセスを取得する可能性を手にする。
主たる脆弱性は、Google のメタデータ・サーバに起因しており、それを悪用する攻撃者は、サービス・アカウントに関連付けられた一時的な OAuth トークンを取得できる。Tafani-Dereeper は、メタデータ・サーバを悪用する攻撃者が、アクセス・トークンを取得し、Google Cloud API に対して認証を行い、機密データを危険に状態に陥れるための、さまざまなコマンド実行の方式を示している。
そのレポートでは、数千のインスタンスにおけるデフォルトのサービス・アカウントの実際の使用状況にもフォーカスし、以下のような懸念すべき統計結果を明らかにしている。Computing インスタンスの 33% 以上が Compute Engine のデフォルトのサービス・アカウントを使用している。そのうちの、約 13% が無制限のスコープを保持しており、実質的な管理者権限をプロジェクト・レベルで付与している。Kubernetes という側面から見ると、46% のクラスタがデフォルトのサービス・アカウントを使用している。Kubernetes の分散化されされる環境に、つまり、インターネットに公開されることが多い環境に、潜在的な脆弱性が加わることになる。
この分析では、上記のようなセキュリティ・ギャップが特定されている。それに加えて、こうしたリスクを軽減する組織にとって、推奨されるソリューションである Google Cloud の “Workload Identity Federation” にも注目している。Tafani-Dereeper のアドバイスどおり、Workload Identity Federation を実装すると、ワークロードにより取得されるトークンの権限が減少し、攻撃ベクターを効果的に修正できる。
Google Cloud における、ID 管理を詳細に調査することで、クラウド・リソースのセキュリティ保護に関する認識が高まる。きわめて高度なツールであっても、タイムリーな介入が欠落すると、そこが攻撃の入り口となり、ユーザーのデータと危険にさらされる可能性が生じる。
Google Cloud において、誤って過度に設定/提供されたアクセスを、デフォルト・サービス・アカウントが容易に提供するという問題があるようです。なんというか、Google ならあり得ると、やはり 過度のアクセス権を求める、Android アプリの状況を考えると、そんなふうに思ってしまいます。ただし、それが Google Cloud に限定されるものなのは、それとも、他のクラウドにも言えることなのか、そのあたりは分かりません。よろしければ、カテゴリ MisConfiguration を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.