AWSの6つのサービスでS3バケットの自動作成の仕組みを通してアカウントが乗っ取られる脆弱性が発見される

世界最大級のセキュリティイベント「Black Hat USA 2024」において、Aqua Securityの研究チームがAWSの6つのサービスにアカウントの乗っ取りやリモートコード実行、AIデータ操作、機密情報漏えいなどが起こる可能性のある重大な脆弱(ぜいじゃく)性があったと発表しました。

Cybersecurity News from Black Hat and DefCon| SC Media | SC Media
https://www.scmagazine.com/blackhat

Breaching AWS Accounts Through Shadow Resources - Black Hat USA 2024 | Briefings Schedule
https://blackhat.com/us-24/briefings/schedule/#breaching-aws-accounts-through-shared-resources-39706

Critical vulnerabilities in 6 AWS services disclosed at Black Hat USA | SC Media
https://www.scmagazine.com/news/critical-vulnerabilities-in-6-aws-services-disclosed-at-black-hat-usa

研究チームの発表は現地時間で2024年8月7日の午前中、「Breaching AWS Accounts Through Shadow Resources(シャドウリソースを介したAWSアカウントの侵害)」というタイトルで行われました。研究チームによると、今回の脆弱性はCloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStarというサービスを利用した際に、予測可能な命名スキームにてS3バケットが自動作成されることが問題だったとのこと。

悪意のある攻撃者がCloudFormationなどのサービスで使用される名前であらかじめS3バケットを作成しておくことで、後からユーザーがサービスで使用するファイルをアップロードすると攻撃者のS3バケットに配置され、攻撃者側から自由にアクセスできるようになります。例としてCloudFormationのテンプレートファイルをアップロードした場合であれば、攻撃者はテンプレートファイルに保存されている機密情報を盗めるだけでなく、テンプレートファイルを編集してバックドアを挿入することも可能でした。

研究チームは、S3バケットの自動作成においてAWSアカウントIDやアカウントで共通のハッシュが使用される点を踏まえ、こうした識別子を秘密にすることの重要性を訴えています。また、今回の脆弱性が利用された場合にアカウントが乗っ取られる可能性はS3バケットを使用したユーザーの権限レベルに依存していたため、ユーザーにロールを割り当てる際に権限を最小にすることも重要です。

脆弱性は2024年2月にAWSセキュリティチームに報告され、2024年6月までに全ての脆弱性が修正されています。AWSはこの発表に対し、「すでに問題は修正済みで、全てのサービスは想定どおりに動作しており、ユーザー側での対応は不要です」とコメントしました。