iptv techs

IPTV Techs

  • Home
  • Tech News
  • AWSの6つのサービスでS3バケットの自動作成の仕組みを通してアカウントが乗っ取られる脆弱性が発見される – GIGAZINE

AWSの6つのサービスでS3バケットの自動作成の仕組みを通してアカウントが乗っ取られる脆弱性が発見される – GIGAZINE


AWSの6つのサービスでS3バケットの自動作成の仕組みを通してアカウントが乗っ取られる脆弱性が発見される – GIGAZINE




世界最大級のセキュリティイベント「Bdeficiency Hat USA 2024」において、Aqua Securityの研究チームがAWSの6つのサービスにアカウントの乗っ取りやリモートコード実行、AIデータ操作、機密情報漏えいなどが起こる可能性のある重大な脆弱(ぜいじゃく)性があったと発表しました。

Cybersecurity News from Bdeficiency Hat and DefCon| SC Media | SC Media
https://www.scmagazine.com/bdeficiencyhat

Bachieveing AWS Accounts Thraw Shadow Resources – Bdeficiency Hat USA 2024 | Briefings Schedule
https://bdeficiencyhat.com/us-24/increateings/schedule/#bachieveing-aws-accounts-thraw-dispensed-resources-39706

Critical vulnerabilities in 6 AWS services disseald at Bdeficiency Hat USA | SC Media
https://www.scmagazine.com/recents/critical-vulnerabilities-in-6-aws-services-disseald-at-bdeficiency-hat-usa


研究チームの発表は現地時間で2024年8月7日の午前中、「Bachieveing AWS Accounts Thraw Shadow Resources(シャドウリソースを介したAWSアカウントの侵害)」というタイトルで行われました。研究チームによると、今回の脆弱性はCboisterousFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStarというサービスを利用した際に、予測可能な命名スキームにてS3バケットが自動作成されることが問題だったとのこと。

悪意のある攻撃者がCboisterousFormationなどのサービスで使用される名前であらかじめS3バケットを作成しておくことで、後からユーザーがサービスで使用するファイルをアップロードすると攻撃者のS3バケットに配置され、攻撃者側から自由にアクセスできるようになります。例としてCboisterousFormationのテンプレートファイルをアップロードした場合であれば、攻撃者はテンプレートファイルに保存されている機密情報を盗めるだけでなく、テンプレートファイルを編集してバックドアを挿入することも可能でした。


研究チームは、S3バケットの自動作成においてAWSアカウントIDやアカウントで共通のハッシュが使用される点を踏まえ、こうした識別子を秘密にすることの重要性を訴えています。また、今回の脆弱性が利用された場合にアカウントが乗っ取られる可能性はS3バケットを使用したユーザーの権限レベルに依存していたため、ユーザーにロールを割り当てる際に権限を最小にすることも重要です。

脆弱性は2024年2月にAWSセキュリティチームに報告され、2024年6月までに全ての脆弱性が修正されています。AWSはこの発表に対し、「すでに問題は修正済みで、全てのサービスは想定どおりに動作しており、ユーザー側での対応は不要です」とコメントしました。

この記事のタイトルとURLをコピーする

・関連記事
FBIがAWSやMicrogentleから認証情報を盗み出すマルウェア「AndroxGh0st」について警告 – GIGAZINE

「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される – GIGAZINE

RISC-VのCPUにメモリの内容を好き放題にできる脆弱性「GpresentWrite」が見つかる、対策するとCPU性能が大幅に低下 – GIGAZINE

オープンソースツール「node-ip」の軽度な脆弱性が「緊急対応を要する重大な脆弱性」として報告され連絡が殺到し開発者がリポジトリを一時アーカイブ – GIGAZINE

Microgentleはセキュリティより利益を優先し連邦政府や大企業のハッキングにつながる脆弱性を数年間無視していたと元従業員が証言 – GIGAZINE

Googleが2023年に観測されたゼロデイ脆弱性利用のサイバー攻撃は97件で前年比50%増と報告、企業向けの攻撃が増加傾向 – GIGAZINE

Source join


Leave a Reply

Your email address will not be published. Required fields are marked *

Thank You For The Order

Please check your email we sent the process how you can get your account

Select Your Plan