Last Updated on 2024-11-07 15:31 by admin
Aqua Securityのセキュリティ研究チームは、AWSの6つのサービス(CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStar)に重大な脆弱性を発見した。この発見は2024年8月のBlack Hat USAカンファレンスで発表された。
脆弱性の概要
– AWS Cloud Development Kit (CDK)のデフォルトのS3バケット命名パターンが予測可能で、攻撃者による悪用が可能
– 攻撃者は未使用のAWSリージョンで事前にS3バケットを作成し、被害者がそのリージョンでサービスを使用するのを待つことができる
– この手法は「Shadow Resources」および「Bucket Monopoly」と名付けられた
影響と対応
– 攻撃者はリモートコード実行、データ漏洩、AIモデル操作、アカウント乗っ取りなどが可能
– Aqua SecurityはAWSに2024年2月に報告し、AWS側は2024年6月までに全ての脆弱性を修正
– AWS CDKバージョン2.149.0(2024年7月リリース)で修正された
影響範囲
– AWSの33のリージョンすべてが潜在的な攻撃対象
– CDKユーザーの約1%が影響を受けた可能性がある
– GitHubでの検索で約160,000件のAWSアカウントIDパターンが発見された
from:AWS’s Predictable Bucket Names Make Accounts Easier to Crack
【編集部解説】
今回発見された脆弱性は、AWSの開発環境における基本的な設計上の問題を浮き彫りにしました。特に注目すべきは、開発者の利便性と安全性のバランスという永遠の課題が顕在化した点です。
AWS CDKは開発者の生産性を高めるための優れたツールですが、デフォルト設定の予測可能性が攻撃者に悪用される可能性があることが判明しました。この問題は、クラウドサービスの設計における重要な教訓となっています。
特筆すべきは、この脆弱性が単なる理論上の問題ではなく、実際に約38,000のAWSアカウントIDに影響を与える可能性があった点です。AWSの調査によると、CDKユーザーの約1%が影響を受けていたことが確認されています。
攻撃者は未使用のAWSリージョンでバケットを事前に作成し、被害者がそのリージョンでサービスを使用するのを待つという、いわゆる「シャドーリソース攻撃」が可能でした。これは、グローバルなクラウドインフラストラクチャの特性を巧妙に悪用する手法といえます。
この問題の深刻さは、CloudFormationの実行ロールがデフォルトで管理者権限を持っている点にあります。攻撃者は、この権限を利用して被害者のAWSアカウント内で特権的なリソースを作成することが可能でした。
対策として、AWSは2024年7月にCDKバージョン2.149.0でこの問題を修正しましたが、この事例は、クラウドサービスのセキュリティ設計において、デフォルト設定の重要性を再認識させる契機となりました。
今後のクラウドサービス開発において、開発者の利便性を損なわずにセキュリティを確保する新しいアプローチが必要とされています。例えば、予測不可能な識別子の自動生成や、より厳格なアクセス制御の実装などが考えられます。