Amazon Web Services (AWS)は、Apache Airflowを管理するサービスであるManaged Workflows for Apache Airflow (MWAA)における重大なセキュリティ脆弱性を修正した。この脆弱性は、悪意のあるアクターが被害者のセッションを乗っ取り、基盤となるインスタンスでリモートコード実行を達成する可能性があるとされている。TenableによってFlowFixationと名付けられたこの脆弱性は、AWSによって対処された。
セキュリティ研究者Liv Matanによると、攻撃者は被害者のアカウントを乗っ取った後、接続文字列の読み取り、設定の追加、有向非巡回グラフ(DAGS)のトリガーなどのタスクを実行できた。特定の状況下では、これらのアクションがMWAAを基盤とするインスタンスでのリモートコード実行(RCE)および他のサービスへの横断移動につながる可能性がある。
この脆弱性の根本原因は、AWS MWAAのWeb管理パネルにおけるセッション固定と、クロスサイトスクリプティング(XSS)攻撃につながるAWSドメインの誤設定の組み合わせにある。セッション固定は、既存のセッション識別子を無効にせずにサービスに認証されると発生するWeb攻撃技術である。これにより、攻撃者はユーザーが認証されるときに攻撃者がアクセスできる認証済みセッションを持つように、ユーザーに既知のセッション識別子を強制(固定)することができる。
Matanは、FlowFixationがクラウドプロバイダーのドメインアーキテクチャと管理の現状に関するより広範な問題を浮き彫りにしていると指摘し、この誤設定はMicrosoft AzureとGoogle Cloudにも影響を及ぼしていると述べた。AWSとAzureは、誤設定されたドメインをPSL(Public Suffix List)に追加することで対処し、Webブラウザが追加されたドメインを公開サフィックスとして認識するようにした。一方、Google Cloudはこの問題を修正するには「十分に重大ではない」と説明している。
【ニュース解説】
Amazon Web Services (AWS)が、Apache Airflowを管理するサービスであるManaged Workflows for Apache Airflow (MWAA)における重大なセキュリティ脆弱性を修正しました。この脆弱性は、悪意のあるアクターが被害者のセッションを乗っ取り、基盤となるインスタンスでリモートコード実行を達成する可能性があるとされています。この脆弱性は「FlowFixation」と名付けられ、セキュリティ研究者によって詳細が共有されました。
セッション固定とは、既存のセッション識別子を無効にせずにユーザーをサービスに認証させるWeb攻撃技術です。攻撃者はこの技術を利用して、ユーザーが攻撃者の既知のセッション識別子を使用し認証するよう強制することができます。この脆弱性を悪用することで、攻撃者は被害者のWeb管理パネルを乗っ取ることが可能になります。
この問題の根本原因は、AWS MWAAのWeb管理パネルにおけるセッション固定と、クロスサイトスクリプティング(XSS)攻撃につながるAWSドメインの誤設定の組み合わせにあります。この誤設定は、Microsoft AzureとGoogle Cloudにも影響を及ぼしており、クラウドプロバイダーのドメインアーキテクチャと管理の現状に関する広範な問題を浮き彫りにしています。
AWSとAzureは、誤設定されたドメインをPublic Suffix List(PSL)に追加することでこの問題に対処しました。これにより、Webブラウザは追加されたドメインを公開サフィックスとして認識し、セキュリティを強化します。一方、Google Cloudはこの問題を修正するには「十分に重大ではない」としています。
この脆弱性の発見と修正は、クラウド環境におけるセキュリティの重要性を再び浮き彫りにします。クラウドサービスは多くの企業や個人にとって不可欠なリソースとなっていますが、その利便性と同時に、セキュリティ脆弱性を悪用されるリスクも伴います。このような脆弱性が発見された場合、迅速な対応が求められます。
また、この事例は、クラウドプロバイダーがどのようにして自社のドメインアーキテクチャと管理を改善し、セキュリティを確保するかという点においても重要な示唆を与えます。特に、共有されたアーキテクチャにおけるセキュリティの課題は、今後も継続的に注目されるべき分野です。クラウドサービスの利用者としては、提供されるセキュリティ対策に留意し、自身のデータとアカウントを守るための適切な措置を講じることが重要です。
from AWS Patches Critical 'FlowFixation' Bug in Airflow Service to Prevent Session Hijacking.
“AWS、Apache Airflowのセキュリティ脆弱性「FlowFixation」を修正” への1件のコメント
この「FlowFixation」という脆弱性の発見と修正は、クラウドコンピューティングの世界におけるセキュリティの継続的な課題を浮き彫りにしています。AWS、Azure、そしてGoogle Cloudという大手クラウドプロバイダーがこの問題にどのように対処しているかを見ることは、セキュリティ対策の現在の状況を理解する上で重要です。
AWSとAzureが誤設定されたドメインをPublic Suffix List(PSL)に追加することで対処したのに対し、Google Cloudがこの問題を「十分に重大ではない」とした対応は、セキュリティの優先順位とリスク評価における企業間の違いを示しています。セキュリティは常に進化する領域であり、攻撃者も新たな方法を見つけ出しています。そのため、クラウドプロバイダーは常に警戒を怠らず、セキュリティ対策を更新し続ける必要があります。
クラウドサービスの普及に伴い、企業や個人はますますその便利さに依存していますが、その一方で、セキュリティ脆弱性を通じて重大なデータ侵害やサービスの乗っ取りが発生するリスクも高まっています。このため、クラウドサービスの利用者は、提供されるセキュリティ機能を理解し、必要な対策を講じることが重要です。
また、この事件はクラ