AWSおよびGoogle CloudのCLIツールに情報漏洩の脆弱性、ユーザーの対策が必要
マイナビニュース / 2024年4月18日 7時43分
Orca Securityは4月16日(米国時間)、「LeakyCLI: AWS & Google Cloud Command Line Tools|Orca Security」において、Amazon Web Services(AWS)およびGoogle Cloudのコマンドラインツールに、認証情報を漏洩する可能性のある脆弱性を発見したと報じた。
これらツールはビルドログ内に環境変数を出力することがあり、認証情報を環境変数に設定するとビルドログに認証情報が保存される。これを知らずにビルドログを公開または共有すると認証情報を漏洩することになる。
○脆弱性「LeakyCLI」の概要
Orca Securityはこの脆弱性を「LeakyCLI」と名付け、その影響をGitHub上にて調査している。Orca Securityによると、AWSの環境変数に含まれる機密情報とみなせる情報は数十件の公開プロジェクトから発見され、Google Cloudからも発見されたという。
○Microsoft Azureにも同様の脆弱性発見の過去
Microsoft Azureのコマンドラインツール(Azure CLI)においても過去同様の問題が発見されている。Microsoftは脆弱性「CVE-2023-36052」として認識し、セキュリティアップデートを公開している(参考:「CVE-2023-36052 - セキュリティ更新プログラム ガイド - Microsoft - Azure CLI REST コマンドの情報漏えいの脆弱性」)。
○対策
AmazonおよびGoogleはいずれもこの動作を「予想された動作」として積極的に修正する予定はないとしている。Amazonは影響を軽減するために、ユーザーに次の対策の実施を推奨している。
サーバーレスリソースの機密情報保存に環境変数を使用しない。代わりにサーバーレスコードはクラウドサービスプロバイダー(CSP: Cloud Service Provider)のシークレットストア(AWS Secrets Managerなど)から情報を取得するようにする
ビルドログの内容を検査し、機密情報が含まれていないことを確認する。コマンド出力を「/dev/null」にパイプする手法を検討する
ビルドログにアクセスできるユーザーを適切に制限する
Googleは影響を軽減するために、ユーザーに次の対策の実施を推奨している。
「-no-user-output-enabled」フラグを使用して出力を抑制する
gcloudデプロイコマンドに組み込まれている「Secrets Manager(-set-secretsおよび-update-secrets)」を使用して認証情報を保存する(参考:「シークレットを構成する | Google Cloud Functions に関するドキュメント」)
この脆弱性は修正される予定がないため、注意してコマンドを利用する必要がある。Orca Securityは各ベンダーが提供した上記対策に従い利用することを推奨している。
(後藤大地)
この記事に関連するニュース
-
ロシアの脅威グループがWindowsの印刷スプーラーの脆弱性悪用、アップデートを
マイナビニュース / 2024年4月30日 12時53分
-
Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見
マイナビニュース / 2024年4月23日 11時19分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
Googleが生成AI向け独自CPU「Google Axion」プロセッサを発表/Intel N100を採用した超小型コンピューティングモジュール「LattePanda Mu」
ITmedia PC USER / 2024年4月14日 6時5分
-
D-LinkのNASに重大な脆弱性、破棄または交換を
マイナビニュース / 2024年4月9日 12時59分
ランキング
-
1パッと見で分からない細かいこだわりも バッファロー開発陣に聞くWi-Fi 7ルーター「WXR18000BE10P」の秘密【後編】
ITmedia PC USER / 2024年5月1日 15時5分
-
2ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
3パイオニアの車載スマートデバイス「NP1」を試して感じたイイところ、ムムムなところ 音声操作前提のドラレコ&カーナビ
ITmedia Mobile / 2024年5月2日 6時5分
-
4ドコモオンラインショップ、「iPhone 15 128GB」が4.4万円引きなどの「GWセール」を5月7日で終了
ITmedia Mobile / 2024年5月1日 17時21分
-
5「なんで嫌なの?」 エルフ荒川、収録でポロリした“本名”にスタジオ反響 本人はいたく恥ずかしがり「呼ぶのやめやあw」
ねとらぼ / 2024年5月1日 20時10分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください