Pocketにセキュリティ脆弱性が存在することが、セキュリティリサーチャによって指摘されています。Pocketは筆者のお気に入りで、よく使用するサービスです。Pocketはこれまでに悪用されたことはありませんでしたが、脆弱性の発見によって、「クラウドインフラが安全であれば、そこで稼働するWebベースアプリケーションとWebサーバも安全だ」という誤った認識が一掃されることになります。
さらに正確にいえば、アプリケーション、プラットフォーム、サーバ、さらにOSのセキュリティは、それをクラウドに配置するテナントの責任で保護しなければならないのです。クラウドインフラで提供されるセキュリティ保護の対象は、コンピューティング、ストレージ、データベースといった基本要素に限定されます。
Amazonが図でわかりやすく説明しています。
残念ながら、この概念が正しく理解されているとはいえず、パブリックIaaSクラウド内部にあればすべてがセキュリティ保護されると誤解している企業が多く存在します。
ハッキングの方法とは?
ハッキングの詳細については、「Pocketに複数の脆弱性が存在」をご覧ください。ハッキングは1人で行われ、使用したツールはブラウザだけです。他には何も必要ありません。ハッカーは、OWASPトップ10に含まれる複数の脆弱性を悪用する方法とその結果について、次のように詳しく説明しています。
- 301リダイレクトでile:///etc/passwdを取得し、自動プロビジョニングされるEC2ユーザのホームディレクトリを取得
- ファイルURIへの301リダイレクトにより、自動プロビジョニングされたEC2ユーザのホームディレクトリからsshプライベートキーを取得(ルートで実行するので読み取りが可能)
- /server-statusを使って内部IPアドレスを取得
- 1時間2セントで、EC2インスタンスをUS-EAST-1で実行
- sshプライベートキーを使って、sshでPocketのバックエンドサーバのプライベートIPアドレスを取得
- ???
- 大成功!
以上をOWASPトップ10に照らしてみると、次のように複数のカテゴリに違反していることがわかります。
A5 – セキュリティ設定のミス
これはハッキングの起源ともいえるものであり、apache mod_statusとExtendedStatusが有効化されていました。これにより、Apache設定、URL、内部IPアドレスなどの詳細情報がわかります。リサーチャは、Pocketから巧妙に情報を引き出しています。localhost IPのサーバステータスファイルへのリンクをキューに入れることで、Pocketアプリで情報をすぐに取得しています。詳しい内容と手順は、全文を参照してください。
A6 – 機密データの露出
リサーチャは、Apacheの設定ミスを悪用することで、AWSインスタンスや資格情報などの稼働環境内部の詳細情報やアプリケーション自体の情報を取得しています。
A2 - 認証とセッション管理の不備
「EC2インスタンスの非常に便利な機能の1つに、Amazonのインスタンスメタデータサービスがある。このサービスは、認証なしに内部アクセスでき、どのEC2インスタンスでも使用可能だ。」
A10 - 未検証のリダイレクトと転送
リサーチャは、Pocketのリダイレクト機能を使って悪意のあるリダイレクトを行っています。
A4 - 安全でないオブジェクト直接参照
リサーチャは、バグの多いプロトコルハンドラと悪意のあるリダイレクト(file:///etc/passwdへのリダイレクトなど)を組み合わせることで、ファイルやディレクトリといった内部実装オブジェクトの参照に成功しています。
A1 - インジェクション
リサーチャは、HTTPを介して要求をインジェクトし、OSレベルのリソース(/etc/passwd, /proc filesystemなど)を取得しています。
ビジネスクリティカルなWebアプリケーションを保護するには?
Barracuda Web Application Firewallは、OWASPトップ10に優先的に取り組んでいます。このソリューションはオンプレミスモデルだけでなく、AWSとAzure Marketplacesでも直接提供されています。このソリューションは次のような機能を備えています。
サーバ(ApacheやIISなど)の識別に利用できるメッセージをクローク
Webアプリケーションを経由した機密性の高いデータの流出を防止
Webアプリケーションを経由した悪意のあるリダイレクトとOSコマンドインジェクションを防止
詳細については、バラクーダネットワークスが作成したOWASPトップ10ホワイトペーパー(pdf)をご覧ください。
※本内容はBarracuda Product Blog 2015年9月28日OWASP Top 10 Follows You Inside the Cloudを翻訳したものです。
Neeraj Khandelwal
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』11月16日付の記事の転載です。