Spring Boot Actuator のミスコンフィグ:クラウド環境に生じる隠れたリスクとは?

Spring Boot Actuator Misconfigurations: The Hidden Security Risks in Cloud Environments

2024/12/17 SecurityOnline — Spring Boot Actuator の深刻なミスコンフィグにより、機密データが露出し、クラウド環境でリモート・コード実行 (RCE) が生じると、Wiz Threat Research の最新レポートが警告している。クラウド・デプロイメントの 60% 以上において、Spring Boot Actuator が活用されているため、適切なセキュリティ対策を実装しない限り、数多くのユーザー組織が危険にさらされ続ける。

Spring Boot Actuator は、Java アプリケーションの監視に広く採用されており、システムの健全性とパフォーマンスをリアルタイムに洞察しえくれる。ただし、ミスコンフィグがあると、このパワフルなツールによる機密情報の漏洩や、攻撃者による悪意のコード実行などにいたる恐れがある。Wiz の説明は、「ミスコンフィグにより、Spring Boot の特定のバージョンでは、機密データや認証情報 (API キー/トークン/パスワードなど) の露出や、リモート コード実行 (RCE) の可能性が生じる」というものだ。

驚くべきことに、Spring Boot Actuator を用いるクラウド環境の 11% でインスタンスがインターネットに公開されており、それらの環境の 25% にミスコンフィグが含まれていることを、Wiz は発見している。多くの場合において、これらの問題の原因は、人為的なミス/安全が確保されないデフォルト設定/本番システムまで残ってしまった見落としなどであるという。

多発するミスコンフィグレーションと影響
  1. 公開された HeapDump ファイル

メモリの問題を診断するために設計された /heapdump エンドポイントにおいては、アプリケーション・メモリに保存されている、AWS アクセスキー/JWT トークン/ユーザー・セッション・データなどの重要なシークレットが、誤って公開される可能性がある。Wiz は、「パスワード、トークン、クラウドキーなどの認証情報が、実行時に Java アプリケーションの JVM のメモリにロードされると、ヒープ・ダンプに取り込まれる可能性がある」と、強調している。

攻撃者は簡単なツールを使用することで、公開されたエンドポイントを悪用できる。

curl ‘http://:8080/actuator/heapdump’ -O
strings heapdump | grep -E “AKIA|eyJ”

  1. 公開されたゲートウェイ・エンドポイントが RCE を有効化する (CVE-2022-22947)

Spring Cloud Gateway バージョン 3.0.0 ~ 3.0.6 および 3.1.0 において、認証されていないパブリック・アクセスを許可するミスコンフィグがあると、リモート・コード実行 (RCE) に対して脆弱になる。だたし、この悪用の条件としては、AWS メタデータ・サービスへの資格情報の照会などによる、悪意のルートの作成が必要であり、その後のサーバ上でのコマンド実行となる。

Wiz は、Spring Cloud Gateway を使用しているクラウド環境の 28% に、少なくとも1つの脆弱なインスタンスが含まれていることを発見した。このような、安全が確保されないエンドポイントにより、攻撃者による機密サービスへの不正アクセスが成立するため、適切なコンフィグレーションが重要となる。

  1. 公開された Env エンドポイント

“/env” エンドポイントでは、データベース資格情報/API キー/コンフィグ・プロパティなどの、ランタイム環境変数が公開される。Wiz は、「env エンドポイントにアクセスすると、構造化された JSON レスポンスが返される。したがって、不正なユーザーに対して、機密情報が公開される可能性が生じる」と指摘している。

ヒープ・ダンプのケースと同様に、これらのエンドポイントをスキャンして解析する攻撃者は、貴重な認証情報を抽出できる。

CVE で表現される脆弱性とは異なり、ミスコンフィグはコードの欠陥ではなく、不適切な構成に起因するため、対処は困難となる。Wiz は、「リモート・コード実行 (RCE) が直ちに行われるとは限らないが、これらの行為により、詳細な偵察活動がサポートされるため、攻撃者の能力と機密リソースへの潜在的なアクセスが拡大していく」と、強調している。

仮に、RCE にいたらなくても、公開された認証情報により、クラウド環境内でのイニシャル・アクセスの達成/横方向への移動/権限の昇格などが可能になる。

Spring Boot Actuator のミスコンフィグを悪用するという脅威キャンペーンは、現時点では公表されていないが、未知の侵害において、このような盲点が既に悪用されている可能性があると、Wiz は警告している。ユーザー組織において必要なことは、これらのリスクを軽減するために、積極的に行動することである。

Wiz の推奨事項:

認証の適用:”/heapdump”、”/gateway/routes”、”/env” などの、機密エンド・ポイントに対して、適切な認証を施すようにする。

露出を最小限に抑える:Actuator エンドポイントへのパブリック・アクセスを制限し、信頼できる IP アドレスだけに制限する。

アップデートとセキュリティのデフォルト:最新バージョンの Spring Boot Actuator を常に使用し、安全なコンフィグを適用する。

Wiz は、「ソフトウェア・セキュリティ・スキャンの範囲を、CVE だけに留まらせずに拡大し、攻撃対象領域を包括的に把握することで、機密性の高いシステムを適切に保護できる」と、締め括っている。

文中でも指摘されていますが、ミスコンフィグは脆弱性よりも厄介な感じがします。そして、2024年には多数のミスコンフィグ関連の記事がありました。よろしければ、カテゴリ MisConfiguration を、ご参照ください。