2011 年 10 月 20 日
セキュリティ研究者は最近、一部の AWS のサービスで使用される署名ラッピングテクニックと高度なクロスサイトスクリプティングの潜在的な脆弱性を特定しました。潜在的な脆弱性は修正されており、影響を受けたお客様はいません。以下は、調査結果の概要と、適切なユーザー検証のためのベストプラクティスのリマインダーです。AWS セキュリティのベストプラクティスを完全に実装しているお客様は、このような脆弱性の影響を受けませんでした。
この調査では、SOAP 解析のエラーにより、メッセージ要素の重複や処理中の暗号署名の欠落を含む、特別に細工された SOAP リクエストが発生する可能性があることが示されました。これが発生した場合、暗号化されていない SOAP メッセージにアクセスできる攻撃者は、別の有効なユーザーとしてアクションを実行し、無効な EC2 アクションを実行する可能性があります。たとえば、攻撃者が、以前に生成された、事前に署名された EC2 の顧客の SOAP リクエスト、または顧客のパブリック X.509 証明書を不適切に取得できる場合、別の顧客に代わって任意の SOAP リクエストを生成する可能性があります。
事前署名された SOAP リクエストまたは X.509 証明書を取得することは困難ですが、研究者は、顧客が傍受の対象となる公開設定で HTTPS の代わりに HTTP 経由で SOAP リクエストを送信した場合、または SOAP リクエストの全コンテンツを攻撃者がアクセスできる場所 (公開メッセージングフォーラムなど) に残した場合、攻撃者がこれを達成できる可能性があると述べました。さらに、セキュリティ研究者は、顧客のパブリック X.509 証明書の取得に使用される可能性があった他のクロスサイトスクリプト (XSS) の欠陥を発見し、報告しました。この方法で顧客のパブリック X.509 証明書を取得すると、攻撃者が顧客に代わって任意の SOAP リクエストを生成し、上記の脆弱性を悪用する可能性があります。
SOAP と XSS の両方の脆弱性が修正され、広範なログ分析により、顧客に影響はないと判断されました。
念のため、次のように、AWS はお客様を保護するためのセキュリティのベストプラクティスをいくつも推奨しています。
- AWS のサービスには SSL で保護された HTTPS エンドポイントのみを使用し、クライアントユーティリティが適切なピア証明書検証を実行するようにする。認証されたすべての AWS API コールのごく一部が非 SSL エンドポイントを使用しており、AWS は将来、非 SSL API エンドポイントを非推奨にする予定です。
- AWS マネジメントコンソールへのアクセスに Multi-Factor Authentication (MFA) を有効にして使用する。
- 制限されたロールと責任を持った Identity and Access Management (IAM) アカウントを作成し、そのアカウントに特に必要なリソースのみにアクセスを制限する。
- IAM ソース IP ポリシーの制限を利用して、ソース IP によって API アクセスとやり取りをさらに制限する。
- シークレットキー、X.509 証明書、キーペアを含む AWS 認証情報を定期的にローテーションする。
- AWS マネジメントコンソールを利用するときは、他のウェブサイトとのやり取りを最小限に抑えるか回避し、安全なインターネットブラウジング慣行に従ってください。それは、銀行業務や同様に重要/重大なオンラインアクティビティで行うべき慣行です。
- AWS のお客様は、REST/Query など、SOAP 以外の API アクセスメカニズムの利用も検討する必要があります。
AWS は、これらの脆弱性を報告し、セキュリティへの情熱を共有してくれた以下の個人に感謝申し上げます。
ドイツのルール大学ボーフム校の Juraj Somorovsky、Mario Heiderich、Meiko Jensen、Jörg Schwenk
NEC Europe の Nils Gruschka
ドイツのケルン応用科学大学の Luigi Lo Iacono
セキュリティは AWS の最優先事項です。安全な AWS インフラストラクチャを実現するために、お客様に機能、メカニズム、および支援を引き続き提供して参ります。セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。