「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも
セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。
ITインフラをクラウドに移行させる企業が増える中で、セキュリティ企業の米Eclypsiumは2月26日、クラウド各社が提供する「ベアメタルクラウド」のオプションに関するセキュリティ問題を指摘した。以前から報告されていた脆弱性と、ベアメタルクラウドのプロセスに存在する弱点を組み合わせれば、サービス妨害(DoS)攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるとしている。
Eclypsiumによると、クラウドサービス事業者は、価値の高いアプリケーションを運用する顧客のために専用の物理サーバを割り当てる「ベアメタルクラウド」のオプションを提供している。
だが、いずれ顧客がそのサーバを使わなくなれば、サービス事業者が再利用措置を行った上で、別の顧客に同じサーバを割り当てる。
この再利用のプロセスに存在する弱点と、SupermicroなどのBaseboard Management Controller(BMC)ファームウェアに以前から指摘されていた脆弱性を組み合わせれば、不正なファームウェアやrootkitが顧客から顧客へと受け渡されて、重要なアプリケーションがダメージを受けたり、プライベートデータが盗まれたりする恐れもあるという。
Eclypsiumでは、Supermicroのサーバを使っているIBM傘下のクラウドサービス「SoftLayer」のベアメタルインスタンスで、この問題を検証した。ただし、これは特定のサービス事業者に限った問題ではなく、ファームウェアの脆弱性は全てのサービス事業者に当てはまると解説している。
IBMには2018年9月にこの問題を通知したといい、IBMは2019年2月25日のブログでBMCファームウェアの脆弱性を確認、対策を講じたことを明らかにした。
ただ、IBMがこの脆弱性の危険度を「低(CVSS 3.0)」に分類したのに対し、Eclypsiumは「クリティカル(CVSS 9.3)」と位置付けている。
関連記事
- 転送が遅い、保守が煩雑、コストがかかる――クラウド移行の課題、ハイブリッドクラウドなら解決できるのか
オンプレミスとクラウドの両環境を利用するハイブリッドクラウドに対する企業ニーズが高まる中、Microsoftが「真のハイブリッドクラウドを実現できるのは当社だけだ」と説く。果たして、どういうことか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.