Amazon Web Services、AWS Glue サービスのセキュリティ脆弱性を修正

[51CTO.com クイック翻訳] Amazon Web Services は、AWS Glue と AWS CloudFormation に影響する 2 つの欠陥を修正しました。

Orca Security によると、AWS Glue の脆弱性により、攻撃者がサービスを使用してリソースを作成し、他の AWS Glue 顧客のデータにアクセスできるようになる可能性があるとのことです。

Orca の研究者は、これは AWS Glue の内部構成エラーによるものだと述べ、AWS は本日、この問題を修正したことを確認した。

2017 年に開始された Glue は、大規模なデータベースに接続し、開発者が機械学習ジョブのために抽出、変換、ロード (ETL) を実行できるようにする、管理されたサーバーレス データ統合サービスです。

Orca の研究者は、Glue 機能を使用して AWS サービスの独自のアカウントのロールの認証情報を取得し、攻撃者が内部サービスのアプリケーション プログラミング インターフェイス (API) にアクセスできるようになる可能性があることを発見しました。

この内部の誤って構成されたアクセスを使用すると、攻撃者はアカウント内の権限を昇格し、完全な管理者権限を取得する可能性があります。

「AWS Glueの他の顧客が所有するデータにアクセスできるようになることを確認しました」とOrcaの研究員Yanir Tsarimi氏は投稿で述べた。

AWSは声明で、Glueの顧客はシステムを更新する必要はないとし、この脆弱性はGlueを使用していないAWSの顧客に影響を与えないことを強調した。

「研究者らはAWS Glueの機能を悪用し、サービス自体に固有の認証情報を入手したが、AWS内の誤った設定により、研究者らはそれらの認証情報をAWS Glueサービスとして使用できた」とAWSは述べた。

「これは、AWS Glue サービスを使用していない顧客に影響を与えるために使用することはできませんでした。」

さらにAWSは、2017年のリリースまで遡ってGlueのログを監査し、それ以降の顧客データは脆弱性の影響を受けていないことを確認したと述べた。

「この問題が報告されたとき、AWSは問題を修正するために直ちに行動を起こした。サービス開始までさかのぼるログを分析した結果、この問題に関連する唯一のアクティビティは研究者が所有するアカウント間であったことが最終的に判明した」とAWSは述べた。

「他の顧客アカウントには影響はありませんでした。AWS Glue が顧客アカウントで実行したすべてのアクションは CloudTrail レコードに記録され、顧客が制御および確認できます。」

Orca は、AWS の 2 番目の脆弱性を発見しました。この脆弱性により、攻撃者は CloudFormation 内のサーバーを侵害して、AWS インフラストラクチャ サービスとして実行できるようになります。 AWS のお客様は、CloudFormation を使用してクラウド リソースをプロビジョニングおよび管理できます。
同社は、ファイルを読み取り、サーバーに代わって Web リクエストを実行できる XML 外部エンティティ インジェクション (XXE) の脆弱性を発見しました。 Orca によれば、攻撃者はこの脆弱性を悪用して「AWS 内のあらゆるリソースへの特権アクセス」を取得する可能性があるという。

Orca によると、AWS もこの欠陥を修正したとのことです。

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。