AWS、AWS Glueを経由して顧客データへアクセスできる脆弱性を修正

Amazon Web Services(AWS)は、AWS Glueのセキュリティ問題に対処し、攻撃者が他のAWS顧客アカウントにリンクされたデータにアクセスして改ざんできるようにしたと発表しました

AWS Glueサービスにおいて、攻撃者が他のAWS Glueユーザのリソースを作成したり、データにアクセスしたりすることを可能にする重大なセキュリティ問題を発見しました。この脆弱性は、複雑なマルチステップのプロセスであり、最終的にはAWS Glue内の内部設定ミスにより可能となります。Glueサービスは、大量のデータにアクセスできるため、非常に魅力的な標的となります。

AWS Glueは、サーバーレスのクラウドデータ統合サービスで、アプリ開発、機械学習、分析のためのデータの発見、準備、結合を支援します。

この脆弱性は、悪用可能なAWS Glueの機能と内部サービスAPIの誤設定に起因しており、Orca Securityのセキュリティリサーチャーは、特権を昇格させてリージョン内のすべてのサービスリソースにアクセスできるようになっていたとのことです。

調査の過程で、AWS Glueの機能を利用して、AWSサービス自身のアカウント内のロールへの認証情報を取得することで、内部サービスAPIへのフルアクセスが可能になることを確認できました

Glueの内部サービスAPIの設定ミスとの組み合わせで、アカウント内の権限をさらに拡大し、完全な管理者権限を含む同地域のサービスのすべてのリソースへの無制限のアクセスが可能になりました

今回の調査結果はオルカセキュリティが所有するAWSアカウントのみを使用して発覚したものであり、調査中に他のAWS顧客が所有する情報やデータにはアクセスしていないと付け加えています。

脆弱性の調査中、研究者は他のAWS顧客のアカウントにおいてGlueサービスが信頼するロールを使用することができました(Glueにアクセスできるすべてのアカウントには、少なくとも1つのこのような役割があります)。

また、AWSリージョン内のAWS Glueサービス関連リソース(Glueジョブ、devエンドポイント、ワークフロー、クローラー、トリガーなどのメタデータを含むがこれらに限定されない)を照会し、変更することができました。

AWS Glueサービスチームは、Orca Securityの報告を受けてから数時間以内に脆弱性を再現・確認し、翌朝までにグローバルで問題を部分的に修正しました。

また、わずか数日でSuperglueの脆弱性に対する完全な緩和策を導入し、潜在的な攻撃者がAWS Glueの顧客のデータにアクセスできないようにしました。

サービス開始時にさかのぼってログを分析した結果、この問題に関連する活動は、研究者が所有するアカウント間でのみ行われていたことがわかっています。

他のお客様のアカウントには影響がありませんでした。お客様のアカウントでAWS Glueが行ったすべてのアクションは、お客様が管理・閲覧可能なCloudTrailレコードに記録されます。- AWS

AWSのセキュリティチームは、Orca SecurityがAWS CloudFormationサービスで発見した2つ目の脆弱性(BreakingFormationと名付けられた)にもパッチを適用しました。

https://aws.amazon.com/jp/security/security-bulletins/AWS-2021-007/

研究者によると、このXXE(XML External Entity)の欠陥により、AWS内部のインフラストラクチャサービスのファイルやクレデンシャルの開示が行われたとのことです。

Orca Security社のTzah Pahima氏は、「我々の調査チームは、ホスト上で発見されたデータ(内部エンドポイントに関わる認証情報やデータを含む)を考慮すると、攻撃者はこの脆弱性を悪用してテナントの境界を迂回し、AWSのあらゆるリソースへの特権的アクセスを得ることができると考えています」とコメントしています。

AWSのVPであるColm MacCárthaigh氏は、BreakingFormationのバグはホストレベルの認証情報へのアクセスにのみ使用された可能性があり、AWS CloudFormationのホストはすべてのAWSアカウントのリソースへのアクセス権を持っているわけではないと述べ、セキュリティ企業の主張を否定しました。

AWS Glue ETLとAWS CloudFormationに関連する問題を認識しており、AWSのお客様のアカウントやデータが影響を受けていないことを確認できました。Orca Securityからこの件を聞いた私たちは、数時間以内に緩和するための即時対応を行い、再発防止のためにサービスに追加のコントロールを加えました。