問題識別子
APK-SA-2020-01
問題を発見した日時
2020年11月30日
概要
AppKeeperを利用している第三者がSIOS AppKeeperと同等の権限でお客様のAWSリソースにアクセスする可能性があります。
影響を受けるシステム
以下の条件をすべて満たす場合、本脆弱性の影響を受けます。
- 第三者がお客様のAWSアカウントとAppKeeperで利用するIAMロール名を知っている
- お客様のAWSアカウントがSIOS AppKeeperにテナント登録されていない
SIOS AppKeeperは同一のAWSアカウントを複数のテナントに登録できないため、2に該当しない場合は、不正に利用される可能性はありません。
悪用の報告
現在のところ、この脆弱性を悪用された報告は受けておりません。
想定される影響
AppKeeperを利用している第三者がAppKeeperと同等の権限を有し、以下のことが行えます。
- AppKeeper経由でEC2インスタンス上の任意のサービスを意図せずに起動・停止されてしまう可能性があります
- 指定したサービスを起動させることができる
- EC2インスタンスの再起動ができる(障害発生時のみ)
- AWSアカウントに紐づく、EC2インスタンスについて以下の情報を閲覧されてしまう
- 割り当てられているタグ名
- インスタンスが所属するリージョン名
- インスタンスID
- サービス名
- AWSアカウントに紐づくAppKeeperに関する情報を閲覧される
- イベント履歴
- 障害ログ
- 通知アドレス設定
重大度
低
確認方法
以下に該当する場合は、第三者がSIOS AppKeeperと同等の権限でお客様のAWSリソースにアクセスした可能性があります。
- SIOS AppKeeperにお客様のAWSアカウントが未登録にも関わらず、SIOS AppKeeperのテナントの登録に失敗する
- お客様の見に覚えのないEC2リソース上のサービス再起動や、インスタンス再起動等の形跡がある
もし、当該項目にお客様が該当する可能性がある場合は、SIOS AppKeeperに関するお問い合わせまでご連絡ください。該当の有無について詳細を調査いたします。
詳細情報
- SIOS AppKeeperはお客様のAWSリソースへのアクセス許可をもらうために、お客様にはAppKeeper専用のIAMロールを作成してもらっています。
- AppKeeper専用のIAMロールは外部IDが設定されますが、すべてのお客様で共通の外部IDを利用しておりました。
- IAMロールに共通の外部IDを利用しているため、第三者がお客様のAWSアカウントとIAMロールを推測または知った場合、お客様になりすましてAppKeeperにAWSアカウント登録できます。
- 第三者がお客様になりすましてAppKeeperにAWSアカウントを登録してしまうとAppKeeper経由でEC2インスタンスに対して意図しない動作を引き起こされる可能性があります。
解決策
本問題は2021年1月6日付けのリリースにて修正されております。本問題の修正に伴いまして、IAMロールの外部IDの設定手順が変更になっております。本問題に該当するお客様におかれましては、お手数ではございますが、IAMロールの外部IDの変更をお願い致します。
IAMロールの外部IDの変更手順
- 画面1のテナント情報をクリックすると、画面2のテナント情報が表示されます。
- "External ID(外部ID)"の画面右側に表示されている"External ID変更"ボタンをクリックすると、新たに外部IDが生成されます。
- AWSマネジメントコンソール上でIAMロールの外部IDを手順2で生成された外部IDに変更してください。
- 画面3の保存ボタンをクリックして、AppKeeper上でIAMロールの外部IDを変更してください。
外部IDの変更手順は以上となります。
画面1
画面2
画面3
コメント
0件のコメント
サインインしてコメントを残してください。