セキュリティ研究者は、過剰な権限を付与する誤設定されたAzure組み込みロールを複数発見しました。Azure APIにおけるVPNキー漏洩の脆弱性と組み合わされることで、特権のないユーザーが内部クラウド資産とオンプレミスネットワークにアクセスできる攻撃チェーンが作成されます。この研究では、発見プロセス、影響、および軽減策の詳細を説明しています。10個の組み込みロールに過剰な権限があることが判明し、VPNキー漏洩の脆弱性はMicrosoftによって修正されました。推奨事項としては、問題のあるロールの監査、限定的なスコープの使用、およびきめ細かい権限を持つカスタムロールの作成などがあります。
続きを読む
セキュリティ企業Token Securityは、AWSのAccount Assessmentツールに重大な脆弱性があることを発見しました。このツールはアカウント間のアクセスを監査することを目的としていますが、その導入手順は、安全性の低いアカウント(開発環境など)にハブロールを配置することを意図せず促しており、安全性の低い環境から高度に機密性の高い環境(本番環境など)への危険な信頼パスを作成していました。これにより権限の昇格が可能になり、攻撃者はAWS組織全体を制御できる可能性があります。AWSは2025年1月28日にこの問題を修正し、管理アカウントと同等のセキュリティを持つアカウントにハブロールを配置することを推奨するようドキュメントを更新しました。影響を受けた組織は、デプロイメントを確認し、必要に応じて修正する必要があります。
続きを読む
Infrastructure as Code(IaC)ツールは、クラウド環境で多数の非人的アイデンティティ(NHI)を迅速に作成できます。しかし、これらのIaC生成NHIの所有者を追跡することは大きな課題です。このブログ記事では、タグベースのアプローチを探求し、Terraformコードにタグを追加して、リソース作成に関与するファイルをトレースし、NHIの所有者を特定します。このアプローチは、タグの継承やクロスプラットフォームの互換性などの実際的な課題に直面していますが、IaC生成NHIの所有権の問題に対する潜在的な解決策を提供し、DevOpsチームがIaCアイデンティティをより適切に追跡および管理するのに役立ちます。
続きを読む