世界最大級のセキュリティイベント「Black Hat USA 2024」において、Aqua Securityの研究チームがAWSの6つのサービスにアカウントの乗っ取りやリモートコード実行、AIデータ操作、機密情報漏えいなどが起こる可能性のある重大な脆弱(ぜいじゃく)性があったと発表しました。
Cybersecurity News from Black Hat and DefCon| SC Media | SC Media
https://www.scmagazine.com/blackhat
Breaching AWS Accounts Through Shadow Resources - Black Hat USA 2024 | Briefings Schedule
https://blackhat.com/us-24/briefings/schedule/#breaching-aws-accounts-through-shared-resources-39706
Critical vulnerabilities in 6 AWS services disclosed at Black Hat USA | SC Media
https://www.scmagazine.com/news/critical-vulnerabilities-in-6-aws-services-disclosed-at-black-hat-usa
研究チームの発表は現地時間で2024年8月7日の午前中、「Breaching AWS Accounts Through Shadow Resources(シャドウリソースを介したAWSアカウントの侵害)」というタイトルで行われました。研究チームによると、今回の脆弱性はCloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStarというサービスを利用した際に、予測可能な命名スキームにてS3バケットが自動作成されることが問題だったとのこと。
悪意のある攻撃者がCloudFormationなどのサービスで使用される名前であらかじめS3バケットを作成しておくことで、後からユーザーがサービスで使用するファイルをアップロードすると攻撃者のS3バケットに配置され、攻撃者側から自由にアクセスできるようになります。例としてCloudFormationのテンプレートファイルをアップロードした場合であれば、攻撃者はテンプレートファイルに保存されている機密情報を盗めるだけでなく、テンプレートファイルを編集してバックドアを挿入することも可能でした。
研究チームは、S3バケットの自動作成においてAWSアカウントIDやアカウントで共通のハッシュが使用される点を踏まえ、こうした識別子を秘密にすることの重要性を訴えています。また、今回の脆弱性が利用された場合にアカウントが乗っ取られる可能性はS3バケットを使用したユーザーの権限レベルに依存していたため、ユーザーにロールを割り当てる際に権限を最小にすることも重要です。
脆弱性は2024年2月にAWSセキュリティチームに報告され、2024年6月までに全ての脆弱性が修正されています。AWSはこの発表に対し、「すでに問題は修正済みで、全てのサービスは想定どおりに動作しており、ユーザー側での対応は不要です」とコメントしました。
PCMAX
ITトピックス
ITランキング
- 1
EUの一般裁判所がGoogleへの14億9000万ユーロの制裁金の取り消しを決定、GoogleがAdSense以外の広告ブローカーの使用を妨害していた反トラスト法違反の裁判で画像あり
- 2
Forbesの検索ランキングの高さに乗じてアフィリエイト記事を作成しまくり年間500億円を稼いでForbesの買収まで検討している企業が存在している画像あり
- 3
最大250種類のパスキーの保存が可能なGoogle Titan セキュリティ キーを使ってパスキー認証してみた画像あり
- 4
100万個のチェックボックスをテクニカルに使用して秘密のメッセージをやりとりしていたグループがある画像あり
- 5
不況が続く映像業界でNetflixが業績回復を果たした理由とは?画像あり
- 6
Googleが金銭を支払ってスマートフォン検索の地位を維持しているのは独占禁止法違反と連邦判事が判断画像あり
- 7
ネットの画像の元ネタはどこに? ネット検索でたどり着けるか調べてみた画像あり
- 8
ドナルド・トランプが政治的キャンペーンに勝手に使用した音楽について著作権侵害で敗訴画像あり
- 9
PayPayフリマ、冷蔵庫などを梱包・配送・設置してくれる「おまかせ大型配送」発表画像あり
- 10
ヴィレヴァン、黒歴史専用の個性的な装丁「黒魔術ノート」を発売画像あり