Azure App Serviceのデプロイエンジン「Kudu」にCSRFの脆弱性 得られる教訓は？

Ermeticの研究チームがMicrosoft Azureのサービスやアプリに影響を与える脆弱性を発見した。これを悪用されると、リモートからのコード実行が可能になるため注意が必要だ。

[後藤大地，有限会社オングス]

　セキュリティ企業Ermeticは2023年1月19日（現地時間、以下同）、同社のブログで「Azure App Service」のデプロイエンジンである「Kudu」にクロスサイトリクエストフォージェリ（以下、CSRF）の脆弱（ぜいじゃく）性が存在していたと伝えた。

　同脆弱性を悪用されると、任意コード実行やコマンド実行、機密データの窃取、フィッシングキャンペーンの展開などのサイバー攻撃が可能だと指摘されている。

ErmeticはKuduの脆弱性について伝えた（出典：ErmeticのWebサイト）

Kuduの脆弱性から得られる教訓は？

　今回見つかった脆弱性はErmeticの研究チームによって発見され、「EmojiDeploy」と呼ばれている。サイバー攻撃者はEmojiDeployを悪用することで、ペイロードを含む悪意あるZIPファイルを展開し、最終的にリモートコード実行（RCE）やシステムの完全な乗っ取りが可能になるとされている。

　Ermeticは脆弱性の悪用によって以下の操作が可能になると指摘している。

• wwwユーザーとしてのコードの実行
• wwwユーザーとしてのコマンドの実行
• 機密データの窃取
• 機密データの削除
• フィッシングキャンペーンの実施
• アプリにおけるマネージドIDの引き継ぎ
• 他の「Microsoft Azure」への横移行（ラテラルムーブメント）の実施

　Ermeticの研究チームは、2022年10月26日にはMicrosoftに同脆弱性について報告していた。Microsoftは報奨金プログラムにのっとって同社に報奨金を支払い、2022年12月6日には修正版を提供している。Microsoft Azureの問題は修正されたことを受け、Ermeticは2023年1月19日に今回の情報を公開した。

　Ermeticは今回発見した問題は既に修正されているが、同様の脆弱性を悪用したサイバー攻撃の影響を軽減する方法として、以下の教訓を伝えた。

• 最小特権の原則を適用する。この構造にしておくことで潜在的な脆弱性から身を守れる
• 見知らぬユーザーからのリンクはクリックしない
• クラウドはそもそも複雑であることを理解する

　利用中のサービスに脆弱性が存在していることを前提にしてシステムを設計することには一定の効果がある。常にさまざまなサイバーセキュリティ上のリスクが存在することを認識するとともに対策を取り続けてほしい。