Microsoft Azureに脆弱性、利用中のサービスを放置するとどうなる
クラウドサービス自体にも脆弱性が潜んでいる場合がある。利用するクラウドサービスに脆弱性が潜んでいそうな場合、利用者にできる対策はあるだろうか。
クラウドサービスはユーザー側の設定に問題がなければ安全だと思われがちだ。だが、クラウドサービス側に脆弱(ぜいじゃく)性が存在するとなれば話は変わってくる。AzureにおいてAPIを含む複数の脆弱性が報告された。ユーザーはどう対策すればいいだろうか。
Microsoft Azureにも脆弱性あり
クラウドセキュリティに関するサービスを提供するOrca Securityは、「Microsoft Azure」の脆弱性を4点発見した。
同社が2023年1月17日に発表したレポートによると(注1)、「Azure API Management」「Azure Functions」「Azure Machine Learning」「Azure Digital Twins」に脆弱性が見つかった。いずれもサーバサイドリクエストフォージェリ(SSRF)攻撃に対して脆弱だということを示す事例が発見された。
Orca Securityのリドール・ベン・シトリット氏(クラウドセキュリティ研究者)と、同社のドロール・ザルマン氏(クラウドセキュリティ研究ディレクター)によれば、Azure FunctionsとAzure Digital Twinsに関する2つの事例では、攻撃者はAzureアカウントやAzureの認証を使わずに脆弱性を利用できたという。つまり誰でも攻撃が可能な状態にあった。
Microsoftはこの報告を受け、脆弱性を修正した(注2)。
SSRF攻撃はどの程度危険なのか
両氏はSSRF攻撃について、攻撃者が脆弱性のあるサーバの機能を悪用して別のサーバの内部リソースの読み取りや更新を実行できるため、潜在的に危険な攻撃だと指摘する。
攻撃者がホストの「Azure Instance Metadata Service」(IMDS)にアクセスできれば、ホスト名やセキュリティグループ、MACアドレス、ユーザーデータなど、インスタンスの詳細な情報にアクセスできる可能性がある。
このような情報を使って、攻撃者はアクセストークンを取得したり、別のホストに移動したり、リモートでコードを実行したりできる可能性がある。
「今回の発見で最も注目すべき点は、最小限の努力で発見できたSSRFの脆弱性の数であり、クラウド環境における拡散率とリスクの高さを示している」(シトリット氏とザルマン氏)
なお、両氏は「Oracle Cloud Services」におけるSSRFの脆弱性に関わる過去の研究についても言及している(注3)。
一方、Microsoftはこの問題について「これらの脆弱性は機密情報やMicrosoft Azureのバックエンドサービスへのアクセスを許可するものではないため、低リスクと見なされる」と同社ブログ記事で表明している。
この脆弱性はメタデータへのアクセスや内部サービスへの接続、クロステナントへのアクセス、不正なデータへのアクセスには使用できないと判断したという。
Microsoftによると、同社は脆弱性のあるURLに対して追加の入力検証を実施した。影響を受ける4つのAzureサービスについて、顧客側の対応は必要ないという。
その一方で、Orca Securityはこのうちの3つを「重要」と位置付けた。Microsoftが対応する前に攻撃者が脆弱性を利用していた場合、ユーザーの情報が漏れている可能性がある。
ユーザーにできることは何か
Orca SecurityによればSSRF攻撃による被害を軽減するためにユーザーにできることは2つある。1つは全ての入力が適切に検証されており、必要なインバウンドトラフィックとアウトバウンドトラフィックのみを許可するようにサーバが構成されていることを確認することだ。もう1つは、クラウド環境を安全に保つことだ。例えば、適切なクラウドセキュリティハイジーンを実施したり、最小特権の原則を守ったり、脆弱性のパッチを適用したり、設定ミスを防ぐ対策を講じたりすることだ。これらを実行していれば、たとえSSRF攻撃が成功したとしても被害は限定的になる。
© Industry Dive. All rights reserved.
関連記事
- クラウドサービス先進国アメリカのセキュリティチェックの現状と解決策
本連載は、クラウドサービス導入時のセキュリティチェックにまつわる現状と課題をひもといてきました。4回目となる本稿は、クラウドサービスの先進国であるアメリカの現状をとりあげながら海外の状況と解決策を紹介します。 - 「あなたの会社のセキュリティ対策は時代遅れ」Microsoftのクラウド担当が語る
Microsoftのクラウドセキュリティ担当バイスプレジデントは、セキュリティを高める手法を間違えている企業が少なくないと語る。現在のITシステム構成や攻撃内容から考えると、ダイナミックで現実的な手法が必要なのだという。どのような手法だろうか。