Datadogのセキュリティチームは最近、AWSのセキュリティ問題を公開した。この問題では、本番環境ではないエンドポイントが攻撃対象として利用され、権限の列挙が無言で実行されていた。AWSはその後、これらの特定のバイパスを修正した。
発表によると、Datadogは2023年6月、AWS CloudTrailをバイパスするための2つの新しいシナリオを特定した。アカウントレベルの情報にアクセスするAPIアクションで特定の非本番エンドポイントを使用することと、CloudTrailで複数のイベントを生成するAPIコールを使用することだ。DatadogのスタッフセキュリティリサーチャーであるNick Frichette氏は次のように説明する。
我々は、本番環境ではないAWS APIエンドポイントを、CloudTrailにログを記録することなく権限の列挙に使用できると判断しました。このテクニックを最初に公開して以来、私たちはAWSと緊密に協力し、敵がこの方法を利用して、侵害された認証情報の権限をこっそりと評価する方法を説明してきました。
この調査により、攻撃者は、セキュリティ対策で見過ごされがちな、これらの非本番エンドポイントの設定ミスや脆弱性を悪用して、不正アクセスや特権の昇格をし、本番環境を侵害する可能性があることが明らかになった。
この問題がAWSに報告されて以来、クラウドプロバイダーは、AWS Cost ExplorerのCloudTrailバイパス(ce:GetCostAndUsage)とRoute 53のCloudTrailバイパス(route53resolver:ListFirewallConfigs)の修正プログラムを昨年9月にリリースし、2つの特定のバイパスを修正した。AWSのセキュリティ・アウトリーチ・チームは、追加の緩和プロセスが展開されるまで、Datadogの調査結果の公表を延期する要請をした。The Duckbill GroupのチーフクラウドエコノミストであるCorey Quinn氏は、次のコメントをしている。
AWSセキュリティは、この脆弱性の公開について11ヶ月も足を引っ張りました。一体どうなっているのでしょうか?
Frichette氏は代わりに、セキュリティ侵害を防ぐために、リスクが低いと考えられるものやテストや開発に使用されるものも含めて、すべてのエンドポイントを保護することの重要性を強調している。
CloudTrailを迂回することはさておき、本番環境以外のエンドポイントには、防御を回避するために、イベントソースの難読化という潜在的な使用事例があります。
クラウド・プロバイダは脆弱性を認めている。
CloudTrailにログを取りませんが、それ以外は通常の認証情報で呼び出し可能で、通常のIAM権限動作を示す孤立した非本番エンドポイントについて、AWSはそのようなエンドポイントのCloudTrailロギングのバイパスもセキュリティ問題であると考えています。
同時に、AWS は、すべてのエンドポイントの修復が必要ではないことを強調している。
本番リソースにアクセスできますが、標準エンドポイントによって生成されたイベントと一致しないCloudTrailイベントを生成する非本番エンドポイントは、どのようなサービスやオペレーションが関係しているのかが不明でない限り、改善されません。
Datadogは発表と同時に、脆弱性が発見された経緯を記録したビデオを公開した。最近の記事「Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover」では、プロジェクトに関連するIAMロールが暴露されたAWS Amplifyの脆弱性を取り上げている。