ITインフラをクラウドに移行させる企業が増える中で、セキュリティ企業の米Eclypsiumは2月26日、クラウド各社が提供する「ベアメタルクラウド」のオプションに関するセキュリティ問題を指摘した。以前から報告されていた脆弱性と、ベアメタルクラウドのプロセスに存在する弱点を組み合わせれば、サービス妨害(DoS)攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるとしている。
Eclypsiumによると、クラウドサービス事業者は、価値の高いアプリケーションを運用する顧客のために専用の物理サーバを割り当てる「ベアメタルクラウド」のオプションを提供している。
だが、いずれ顧客がそのサーバを使わなくなれば、サービス事業者が再利用措置を行った上で、別の顧客に同じサーバを割り当てる。
この再利用のプロセスに存在する弱点と、SupermicroなどのBaseboard Management Controller(BMC)ファームウェアに以前から指摘されていた脆弱性を組み合わせれば、不正なファームウェアやrootkitが顧客から顧客へと受け渡されて、重要なアプリケーションがダメージを受けたり、プライベートデータが盗まれたりする恐れもあるという。
Eclypsiumでは、Supermicroのサーバを使っているIBM傘下のクラウドサービス「SoftLayer」のベアメタルインスタンスで、この問題を検証した。ただし、これは特定のサービス事業者に限った問題ではなく、ファームウェアの脆弱性は全てのサービス事業者に当てはまると解説している。
IBMには2018年9月にこの問題を通知したといい、IBMは2019年2月25日のブログでBMCファームウェアの脆弱性を確認、対策を講じたことを明らかにした。
ただ、IBMがこの脆弱性の危険度を「低(CVSS 3.0)」に分類したのに対し、Eclypsiumは「クリティカル(CVSS 9.3)」と位置付けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR