Azure App Serviceのデプロイエンジン「Kudu」にCSRFの脆弱性 得られる教訓は?
Ermeticの研究チームがMicrosoft Azureのサービスやアプリに影響を与える脆弱性を発見した。これを悪用されると、リモートからのコード実行が可能になるため注意が必要だ。
セキュリティ企業Ermeticは2023年1月19日(現地時間、以下同)、同社のブログで「Azure App Service」のデプロイエンジンである「Kudu」にクロスサイトリクエストフォージェリ(以下、CSRF)の脆弱(ぜいじゃく)性が存在していたと伝えた。
同脆弱性を悪用されると、任意コード実行やコマンド実行、機密データの窃取、フィッシングキャンペーンの展開などのサイバー攻撃が可能だと指摘されている。
Kuduの脆弱性から得られる教訓は?
今回見つかった脆弱性はErmeticの研究チームによって発見され、「EmojiDeploy」と呼ばれている。サイバー攻撃者はEmojiDeployを悪用することで、ペイロードを含む悪意あるZIPファイルを展開し、最終的にリモートコード実行(RCE)やシステムの完全な乗っ取りが可能になるとされている。
Ermeticは脆弱性の悪用によって以下の操作が可能になると指摘している。
- wwwユーザーとしてのコードの実行
- wwwユーザーとしてのコマンドの実行
- 機密データの窃取
- 機密データの削除
- フィッシングキャンペーンの実施
- アプリにおけるマネージドIDの引き継ぎ
- 他の「Microsoft Azure」への横移行(ラテラルムーブメント)の実施
Ermeticの研究チームは、2022年10月26日にはMicrosoftに同脆弱性について報告していた。Microsoftは報奨金プログラムにのっとって同社に報奨金を支払い、2022年12月6日には修正版を提供している。Microsoft Azureの問題は修正されたことを受け、Ermeticは2023年1月19日に今回の情報を公開した。
Ermeticは今回発見した問題は既に修正されているが、同様の脆弱性を悪用したサイバー攻撃の影響を軽減する方法として、以下の教訓を伝えた。
- 最小特権の原則を適用する。この構造にしておくことで潜在的な脆弱性から身を守れる
- 見知らぬユーザーからのリンクはクリックしない
- クラウドはそもそも複雑であることを理解する
利用中のサービスに脆弱性が存在していることを前提にしてシステムを設計することには一定の効果がある。常にさまざまなサイバーセキュリティ上のリスクが存在することを認識するとともに対策を取り続けてほしい。
関連記事
- サイバー犯罪者が早速、ChatGPTを悪用 3つの事例を紹介
Check Point ResearchはOpenAIが開発したチャットbot「ChatGPT」を悪用したサイバー犯罪事例を紹介した。アンダーグラウンドのハッキングコミュニティーではこれをどう悪用するか盛んに議論されているようだ。 - Oracle Java SEに脆弱性 迅速にアップデートの適用を
IPAはOracle Java SEの脆弱性について情報を公開した。該当製品を使っている場合は急いでアップデートを適用してほしい。 - Sophos FirewallにCVSS9.8の脆弱性 4000台以上がいまだ修正されず
VulnCheckがSophos Firewallに関するセキュリティアップデートの適用状況を調査した。2022年9月に公開された深刻度「緊急」(Critical)の脆弱性に対して現在も修正されてないファイアウォールが4000以上発見されたという。 - トレリックスが2023年の脅威予測を発表 11の注意すべきトピックとは?
トレリックスは2023年の脅威動向予測を発表した。同社は11のセキュリティトピックを紹介し、その中でも特に注意すべき4つの項目を解説した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.