innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Azure HDInsightに潜む新たなセキュリティ脆弱性、緊急対策を展開

,

Last Updated on 2024-02-07 00:26 by admin

2024年2月6日、Orcaセキュリティ研究者Lidor Ben Shitritは、Azure HDInsightのApache Hadoop、Kafka、Sparkサービスに新たに発見された3つのセキュリティ脆弱性についての技術報告をThe Hacker Newsと共有しました。これらの脆弱性は、特権昇格と正規表現によるサービス拒否(ReDoS)状態を引き起こす可能性があります。

脆弱性のリストは以下の通りです:

– CVE-2023-36419(CVSSスコア:8.8)- Azure HDInsight Apache OozieワークフロースケジューラXML外部エンティティ(XXE)インジェクション特権昇格脆弱性
– CVE-2023-38156(CVSSスコア:7.2)- Azure HDInsight Apache Ambari Javaデータベース接続(JDBC)インジェクション特権昇格脆弱性
– Azure HDInsight Apache Oozie正規表現によるサービス拒否(ReDoS)脆弱性(CVEなし)

これらの特権昇格の脆弱性は、対象のHDIクラスターにアクセスできる認証済みの攻撃者が特別に作成されたネットワークリクエストを送信し、クラスター管理者権限を取得するために悪用される可能性があります。XXEの脆弱性は、ユーザー入力の検証不足が原因で、ルートレベルのファイル読み取りと特権昇格を可能にします。一方、JDBCインジェクションの脆弱性は、ルートとしてのリバースシェルを取得するために悪用される可能性があります。

ReDoS脆弱性は、適切な入力検証と制約の強制が不足しているために発生し、攻撃者が大量のアクションIDを要求し、集中的なループ操作を引き起こし、サービス拒否(DoS)につながることを可能にしました。この脆弱性の成功した悪用は、システムの運用の中断、パフォーマンスの劣化、およびサービスの可用性と信頼性への悪影響を引き起こす可能性があります。

責任を持った開示の後、Microsoftは2023年10月26日にリリースされたアップデートの一環として修正を展開しました。この発展は、Orcaがオープンソースの分析サービスで悪用可能な8つの脆弱性のコレクションを詳細に説明してから約5ヶ月後に到来しました。これらの脆弱性は、データアクセス、セッションハイジャック、および悪意のあるペイロードの配信に悪用される可能性があります。2023年12月には、OrcaはApache HadoopのWebインターフェースとリソース作成時のデフォルト設定におけるセキュリティコントロールの欠如を利用したGoogle Cloud Dataprocクラスターに影響を与える「潜在的な乱用リスク」についても強調しました。

【ニュース解説】

Azure HDInsightのApache Hadoop、Kafka、Sparkサービスにおいて、新たに3つのセキュリティ脆弱性が発見されました。これらの脆弱性は、特権昇格と正規表現によるサービス拒否(ReDoS)状態を引き起こす可能性があるとされています。これらの問題は、認証済みのユーザーが特別に作成されたネットワークリクエストを送信することで、クラスター管理者権限を不正に取得することが可能になるというものです。

特権昇格の脆弱性には、XML外部エンティティ(XXE)インジェクションとJavaデータベース接続(JDBC)インジェクションの2種類があります。XXEインジェクションは、ユーザー入力の検証不足により、ルートレベルでのファイル読み取りや特権昇格を可能にします。JDBCインジェクションは、攻撃者がリバースシェルを取得し、システム上で最高権限を得ることを可能にするものです。

ReDoS脆弱性は、入力検証と制約の強制が不足していることにより発生します。これにより、攻撃者は大量のアクションIDを要求し、集中的なループ操作を引き起こすことができ、結果としてサービス拒否(DoS)状態を引き起こす可能性があります。このような攻撃は、システムの運用中断やパフォーマンスの劣化、サービスの可用性と信頼性の低下をもたらす可能性があります。

これらの脆弱性の発見と公表は、クラウドサービスのセキュリティに対する注意を促すものです。クラウド環境は多くの企業や組織にとって重要なインフラとなっていますが、そのセキュリティは常に脅威にさらされています。このような脆弱性が存在することは、クラウドサービスプロバイダーだけでなく、クラウドを利用するすべてのユーザーにとってセキュリティ対策の重要性を再認識させるものです。

Microsoftは、これらの脆弱性に対処するためのアップデートをリリースしました。この迅速な対応は、セキュリティインシデントへの対応能力が高いことを示していますが、クラウドサービスを利用する際には、ユーザー自身もセキュリティ対策を怠らないことが重要です。また、今後も新たな脆弱性が発見される可能性があるため、定期的なセキュリティチェックとアップデートの適用が必要となります。

このようなセキュリティ脆弱性の発見と修正は、クラウドサービスの安全性を高めるために不可欠です。しかし、攻撃者は常に新たな攻撃手法を模索しており、セキュリティは常に進化し続ける必要があります。企業や組織は、セキュリティ対策を継続的に見直し、強化することで、クラウド環境を安全に利用することができます。

from Experts Detail New Flaws in Azure HDInsight Spark, Kafka, and Hadoop Services.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Azure HDInsightに潜む新たなセキュリティ脆弱性、緊急対策を展開

“Azure HDInsightに潜む新たなセキュリティ脆弱性、緊急対策を展開” への1件のコメント

  1. 山本 拓也のアバター
    山本 拓也

    このニュースに関して、Azure HDInsightのApache Hadoop、Kafka、Sparkサービスに新たに発見されたセキュリティ脆弱性は、クラウドセキュリティに対する私たちの認識を再び高めるものです。私が営業セールスマンとして働く中堅製薬会社でも、データのセキュリティは極めて重要です。私たちのような企業は、機密性の高い医薬品関連のデータを扱っており、その保護には最大限の注意を払わなければなりません。このような脆弱性が明らかになることは、我々が利用しているクラウドサービスにおけるリスクの存在を示しています。

    特に、特権昇格の脆弱性は、攻撃者がシステム上で最高権限を得る可能性があるため、非常に危険です。また、サービス拒否(DoS)状態を引き起こすReDoS脆弱性も、ビジネスの運営に大きな影響を及ぼす可能性があります。これらの脆弱性は、システムの運用中断やパフォーマンスの劣化を引き起こし、結果として企業の信頼性と評判に悪影響を及ぼす可能性があります。

    Microsoftがこれらの脆弱性に対応するためにアップデートをリリースしたことは評価できますが、クラウドサービスを利用する企業として

Latest News