AWS Default IAM Roles Found to Enable Lateral Movement and Cross-Service Exploitation
2025/05/20 TheHackerNews — Amazon Web Services (AWS) に影響を及ぼす、IAM (identity and access management) の高リスクのデフォルト・ロールを、サイバー・セキュリティ研究者たちが発見した。これらのロールを悪用する攻撃者は、権限の昇格や、他の AWS サービスの操作を達成し、AWSアカウントの完全な侵害の可能性を手にするという、きわめて危険なものである。
Aqua の研究者である Yakir Kadkoda と Ofek Itach は、「これらのロールは、多くの場合において、自動的に作成され、セットアップ時に推奨されるが、S3 へのフルアクセスなどの、過度に広範な権限を付与してしまう。これらのデフォルト・ロールは、権限昇格/サービス間アクセスに加えて、アカウント侵害の可能性さえも許す攻撃経路を、暗黙のうちに作り出してしまう」と分析している。
具体的に言うと、SageMaker/Glue/EMR/Lightsail などの AWS サービスにより作成される、デフォルトの IAM ロールにセキュリティ上の問題を発見したと、Aqua は述べている。同様の脆弱性は、AmazonS3FullAccess ポリシーを持つデフォルトの IAM ロール (ray-autoscaler-v1) を自動的に作成する、人気の OSS フレームワークである Ray にも発見されている。
これらの IAM ロールについて懸念されるのは、特定の限定された用途が想定されていても、管理アクションの実行や、サービス間の分離境界の突破に悪用される可能性があることだ。その結果として、標的環境内に足場を築いた攻撃者は、サービス間を横断的に移動できるようになる。
これらの攻撃は、バケット独占攻撃の域を超えている。バケット独占攻撃とは、予測可能な S3 バケットの命名パターンを悪用する脅威アクターが、未使用の AWS リージョンにバケットを設定し、正規の顧客が CloudFormation/Glue/EMR/SageMaker/ServiceCatalog/CodeStar などのサービスを使い始める際に、対象となるバケットの内容を制御できるというシナリオに基づくものだ。
研究者たちは、「今回のケースにおいて、AmazonS3FullAccess でデフォルトのサービス・ロールにアクセスできる攻撃者は、リモートでバケット名を推測する必要すらない」と説明している。
つまり、既存の権限を使用する攻撃者は、命名パターンに基づき、自身のアカウント内から他のサービスで使用されるバケットを検索し、CloudFormation テンプレート/EMR スクリプト/SageMaker リソースなどのアセットを変更し、同じ AWS アカウント内のサービス間で横方向へと移動していける。
言い換えると、AmazonS3FullAccess 権限を持つ、AWS アカウント内の IAM ロールは、すべての S3 バケットに対する Read/Write アクセス権を持ち、各種の AWS サービスを変更できるため、横方向への移動と権限昇格のための強力な手段となる。
この許可ポリシーが適用されているサービスとして、特定された一部を以下に示す:
- Amazon SageMaker AI:AmazonS3FullAccess と同等のカスタム・ポリシーを持つ SageMaker ドメインを作成する際に、AmazonSageMaker-ExecutionRole-<Date&Time> というデフォルトの実行ロールを作成する。
- AWS Glue:AmazonS3FullAccess ポリシーが設定された、デフォルトの AWSGlueServiceRole ロールを作成する。
- Amazon EMR:AmazonS3FullAccess ポリシーが割り当てられた、デフォルトの AmazonEMRStudio_RuntimeRole_<Epoch-time> ロールを作成する。
想定される攻撃シナリオでは、脅威アクターにより Hugging Face にアップロードされた悪意の機械学習モデルが、SageMaker にインポートされると、任意のコード実行の可能性が生じる。その後に、Glue ジョブの IAM 認証情報を盗み出すバックドアを挿入することで、Glue などの AWS サービスの制御を奪取する機会が提供されてしまう。
この攻撃者は、アカウント内で権限を昇格させ、CloudFormation が使用するバケットを探し出し、権限をさらに昇格させる悪意のテンプレートを挿入することで、最終的には AWS 環境全体に侵入する可能性を手にする。
この情報開示を受けた AWS は、デフォルトのサービス・ロールの AmazonS3FullAccess ポリシーを変更することで、この問題に対処している。
研究者たちは、「一連のデフォルトのサービス・ロールにとって必要なことは、スコープを厳密に設定し、必要とされる特定のリソースとアクションを厳密に制限することだ。その一方で、ユーザー組織にとって必要なことは、デフォルトの設定に頼るのではなく、既存のロールを積極的に監査/更新して、リスクを最小限に抑えることだ」と指摘している。
Microsoft Azure AI/HPC ワークロードにプリインストールされている、Azure ストレージのマウントで用いられるユーティリティに脆弱性が存在することを、Varonis が 詳細に報告している。それと並行して、今回の問題も発表された。このユーティリティがインストールされている Linux マシンでは、権限のないユーザーの、root 権限への昇格の可能性があるという。
セキュリティ研究者の Tal Peleg は、「この問題は、Azure Storage Account NFS エンドポイントをマウントするための、ユーティリティ AZNFS-mount に取り込まれた SUID バイナリによる、典型的な権限昇格の手法である。たとえば、ユーザーは権限を root に昇格させ、その権限を使用して追加の Azure Storage コンテナをマウントし、マシンにマルウェアやランサムウェアをインストールし、ネットワーク/クラウド環境での横方向への移動を試行する機会を得る」と述べている。
この脆弱性は、AZNFS-mount ユーティリティのバージョン 2.0.10 以下に影響を及ぼすものだが、2025年1月30日にリリースされたバージョン 2.0.11 で修正されている。
AWS の IAM ロールの一部に、横移動や認証情報窃取のリスクがあることが判明しました。しかも、デフォルト設定に問題が存在するという、とても深刻な状況です。ご利用のチームは、文中の推奨策の実施を、ご検討下さい。よろしければ、AWS + IAM で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.