AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性

 - innovaTopia - (イノベトピア)

Last Updated on 2024-11-07 15:31 by admin

Aqua Securityのセキュリティ研究チームは、AWSの6つのサービス(CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStar)に重大な脆弱性を発見した。この発見は2024年8月のBlack Hat USAカンファレンスで発表された。

脆弱性の概要

– AWS Cloud Development Kit (CDK)のデフォルトのS3バケット命名パターンが予測可能で、攻撃者による悪用が可能
– 攻撃者は未使用のAWSリージョンで事前にS3バケットを作成し、被害者がそのリージョンでサービスを使用するのを待つことができる
– この手法は「Shadow Resources」および「Bucket Monopoly」と名付けられた

影響と対応

– 攻撃者はリモートコード実行、データ漏洩、AIモデル操作、アカウント乗っ取りなどが可能
– Aqua SecurityはAWSに2024年2月に報告し、AWS側は2024年6月までに全ての脆弱性を修正
– AWS CDKバージョン2.149.0(2024年7月リリース)で修正された

影響範囲

– AWSの33のリージョンすべてが潜在的な攻撃対象
– CDKユーザーの約1%が影響を受けた可能性がある
– GitHubでの検索で約160,000件のAWSアカウントIDパターンが発見された

from:AWS’s Predictable Bucket Names Make Accounts Easier to Crack

【編集部解説】

今回発見された脆弱性は、AWSの開発環境における基本的な設計上の問題を浮き彫りにしました。特に注目すべきは、開発者の利便性と安全性のバランスという永遠の課題が顕在化した点です。

AWS CDKは開発者の生産性を高めるための優れたツールですが、デフォルト設定の予測可能性が攻撃者に悪用される可能性があることが判明しました。この問題は、クラウドサービスの設計における重要な教訓となっています。

特筆すべきは、この脆弱性が単なる理論上の問題ではなく、実際に約38,000のAWSアカウントIDに影響を与える可能性があった点です。AWSの調査によると、CDKユーザーの約1%が影響を受けていたことが確認されています。

攻撃者は未使用のAWSリージョンでバケットを事前に作成し、被害者がそのリージョンでサービスを使用するのを待つという、いわゆる「シャドーリソース攻撃」が可能でした。これは、グローバルなクラウドインフラストラクチャの特性を巧妙に悪用する手法といえます。

この問題の深刻さは、CloudFormationの実行ロールがデフォルトで管理者権限を持っている点にあります。攻撃者は、この権限を利用して被害者のAWSアカウント内で特権的なリソースを作成することが可能でした。

対策として、AWSは2024年7月にCDKバージョン2.149.0でこの問題を修正しましたが、この事例は、クラウドサービスのセキュリティ設計において、デフォルト設定の重要性を再認識させる契機となりました。

今後のクラウドサービス開発において、開発者の利便性を損なわずにセキュリティを確保する新しいアプローチが必要とされています。例えば、予測不可能な識別子の自動生成や、より厳格なアクセス制御の実装などが考えられます。

【用語解説】

  • AWS CDK (Cloud Development Kit):
    クラウドインフラをプログラミング言語で定義できるフレームワーク。TypeScript、Python、JavaScriptなどの言語でAWSリソースを構築可能。従来のYAMLやJSONによる設定より開発者にとって使いやすい。

【参考リンク】

  1. Aqua Security(外部)
    クラウドネイティブセキュリティのリーディングカンパニー。包括的なセキュリティソリューションを提供
  2. AWS CDK公式ドキュメント(外部)
    AWSのインフラをコードで構築するための包括的なガイドラインと技術資料を提供
  3. NCDCエンジニアブログ(外部)
    本記事の脆弱性を分かりやすく詳しく解説している日本語記事

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » AWS CDK の脆弱性が発覚、S3バケット名の予測可能性で管理者権限奪取の危険|約38,000アカウントに影響の可能性