クラウドサービス自体にも脆弱性が潜んでいる場合がある。利用するクラウドサービスに脆弱性が潜んでいそうな場合、利用者にできる対策はあるだろうか。
クラウドサービスはユーザー側の設定に問題がなければ安全だと思われがちだ。だが、クラウドサービス側に脆弱(ぜいじゃく)性が存在するとなれば話は変わってくる。AzureにおいてAPIを含む複数の脆弱性が報告された。ユーザーはどう対策すればいいだろうか。
クラウドセキュリティに関するサービスを提供するOrca Securityは、「Microsoft Azure」の脆弱性を4点発見した。
同社が2023年1月17日に発表したレポートによると(注1)、「Azure API Management」「Azure Functions」「Azure Machine Learning」「Azure Digital Twins」に脆弱性が見つかった。いずれもサーバサイドリクエストフォージェリ(SSRF)攻撃に対して脆弱だということを示す事例が発見された。
Orca Securityのリドール・ベン・シトリット氏(クラウドセキュリティ研究者)と、同社のドロール・ザルマン氏(クラウドセキュリティ研究ディレクター)によれば、Azure FunctionsとAzure Digital Twinsに関する2つの事例では、攻撃者はAzureアカウントやAzureの認証を使わずに脆弱性を利用できたという。つまり誰でも攻撃が可能な状態にあった。
Microsoftはこの報告を受け、脆弱性を修正した(注2)。
両氏はSSRF攻撃について、攻撃者が脆弱性のあるサーバの機能を悪用して別のサーバの内部リソースの読み取りや更新を実行できるため、潜在的に危険な攻撃だと指摘する。
攻撃者がホストの「Azure Instance Metadata Service」(IMDS)にアクセスできれば、ホスト名やセキュリティグループ、MACアドレス、ユーザーデータなど、インスタンスの詳細な情報にアクセスできる可能性がある。
このような情報を使って、攻撃者はアクセストークンを取得したり、別のホストに移動したり、リモートでコードを実行したりできる可能性がある。
「今回の発見で最も注目すべき点は、最小限の努力で発見できたSSRFの脆弱性の数であり、クラウド環境における拡散率とリスクの高さを示している」(シトリット氏とザルマン氏)
なお、両氏は「Oracle Cloud Services」におけるSSRFの脆弱性に関わる過去の研究についても言及している(注3)。
一方、Microsoftはこの問題について「これらの脆弱性は機密情報やMicrosoft Azureのバックエンドサービスへのアクセスを許可するものではないため、低リスクと見なされる」と同社ブログ記事で表明している。
この脆弱性はメタデータへのアクセスや内部サービスへの接続、クロステナントへのアクセス、不正なデータへのアクセスには使用できないと判断したという。
Microsoftによると、同社は脆弱性のあるURLに対して追加の入力検証を実施した。影響を受ける4つのAzureサービスについて、顧客側の対応は必要ないという。
その一方で、Orca Securityはこのうちの3つを「重要」と位置付けた。Microsoftが対応する前に攻撃者が脆弱性を利用していた場合、ユーザーの情報が漏れている可能性がある。
Orca SecurityによればSSRF攻撃による被害を軽減するためにユーザーにできることは2つある。1つは全ての入力が適切に検証されており、必要なインバウンドトラフィックとアウトバウンドトラフィックのみを許可するようにサーバが構成されていることを確認することだ。もう1つは、クラウド環境を安全に保つことだ。例えば、適切なクラウドセキュリティハイジーンを実施したり、最小特権の原則を守ったり、脆弱性のパッチを適用したり、設定ミスを防ぐ対策を講じたりすることだ。これらを実行していれば、たとえSSRF攻撃が成功したとしても被害は限定的になる。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。