ブログへようこそ

SSRF攻撃によるクラウド全体の乗っ取りを防ぐ

これは、あるスタートアップのAmazon S3バケット、環境変数、様々な内部APIシークレットに、メールを送信するシンプルなフォームを介してアクセスした攻撃者の話だ。これは実話だが、スタートアップの名前は秘密にしておく。

侵入経路

すべてはPHPアプリケーションがメールを送信するところから始まります。派手な画像を添付ファイルとしてメールに読み込むために、アプリケーションは画像をダウンロードする必要があります。PHPでは、これは簡単です。file_get_contents関数を使用します。

もちろん、このメールに対するユーザー入力の一部は、完全にチェックされているわけでも、HTMLエンコードされているわけでもない。 <img src=’evil.com’/>. 理論的には、これはそれほど悪いことではありませんが、悲しいことに、このPHP関数は非常に強力で、インターネット経由で画像を読み込む以上のことができます。また、ローカルファイルや、さらに重要なこととして、インターネットではなくローカルネットワーク上のファイルを読み込むこともできます。

攻撃者はevil.comの代わりに、特別なローカルURLを入力した。 このURLを使用すると、単純なGETリクエストで、実行中のAWS EC2サーバーのロールにリンクされたIAM認証情報を取得できる。

<img src=’http://169.254.169.254/latest/meta-data/'>

その結果、攻撃者はメールボックスの添付ファイルにEC2サーバーのIAM認証情報を含むメールを受け取った。これらのキーによって、攻撃者はAWSの様々なサービスと会話する際に、そのサーバーになりすますことができる。そこからすべてが下り坂になる...。

そもそも、なぜこんなことが可能なのか？

これらのIAMキーをロードするシステムはIMDSv1と呼ばれ、Amazonは2019年にIMDSv2と呼ばれる新しいバージョンをリリースした。IMDSv2では、IAM認証情報を取得するために、特別なヘッダーを付けたPUTリクエストを送信する必要がある。つまり、file_get_contentsのような単純なGETベースのURL読み込み関数では、もはやそこまでの被害は出せないということだ。

2023年現在、IMDSv2の採用率がどうなっているかは不明だが、アマゾンが採用率を高めるための対策を取っているのは明らかで、IMDSv1がまだ野放しで使われているのを目にすることもある。

IAMキーの漏洩はさらなる漏洩につながる：S3バケットをリストアップし、その内容を読み取ることができた。さらに悪いことに、S3バケットの1つには、機密性の高い環境変数（Sendgrid APIキーなど）を含むcloudformationテンプレートが含まれていた。

このような事態からクラウドインフラを守るにはどうすればいいのか？

さて、このようなデータの完全な損失を防ぐにはどうしたらいいでしょうか？開発者は細心の注意を払い、file_get_contentsに渡すURLにはallowlistを使うように注意すればよい。画像を期待しているのであれば、受け取ったコンテンツが画像であることを確認することもできます。しかし現実には、開発者としてこの種のミスを避けるのは難しいのです。

このような攻撃に対して、インフラが特別な防御策を講じていることを確認することは、非常に良いことだ。Aikido セキュリティのAWSとの新しい統合は、あなたのクラウドが以下の対策のいずれかを積極的に講じていない場合に警告を発します。これらの対策はそれぞれ単独でもこの特定の攻撃を阻止できただろうが、我々はこれらすべてを実施することを推奨する。Aikdidoの無料トライアルアカウントを使って、あなたのクラウドがこれらの脅威に対してすでに防御されているかどうかを確認してください。Aikdidoがどのようにアプリを脆弱性から保護しているかは、こちらをご覧ください。

取るべきステップ

1. 既存のIMDSv1 EC2ノードをIMDSv2に移行する
2. ウェブサーバの環境やcloudformationテンプレートにシークレットを一切保存しないこと。AWS Secrets Managerのようなツールを使って、実行時にシークレットをロードする。
3. EC2サーバーにIAMロールを割り当てる際は、ローカルAWSネットワーク（VPC）内でのみ使用できるように制限するなど、余分なサイドコンディションを設定しておく。以下の例では、EC2サーバーが特定のVPCエンドポイント経由で通信している場合にのみ、S3からの読み込みを許可している。これはネットワーク内からのみ可能なので、攻撃者はローカルマシンからS3バケットにアクセスできなかっただろう。

{
"Version": "2012-10-17",
"Statement": [
       {
"Sid": "rule-example",
"Effect": "Allow",
"Action": "s3:getObject",
"Resource": "arn:aws:s3:::bucketname/*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1s0d54f8e1f5e4fe"
               }
           }
       }
   ]
}

キル・チェイン』について

キル・チェーンは、攻撃者が複数の脆弱性を連鎖させることによって、ソフトウェア企業の王冠を狙うという実話を紹介するシリーズである。WillemDelbareが、CTOとしてSaaSスタートアップの構築とサポートに携わった10年の経験を活かして執筆した。この物語はウィレムのネットワークから直接もたらされたものであり、すべて実際に起こったことである。

ベルギーのSaaS新興企業Aikido Securityは、開発者向けにソフトウェア・セキュリティを簡素化するという使命を支持する著名なエンジェル投資家から、プレシード資金として200万ユーロを調達した。

近年、ソフトウェア業界では「シフト・レフト」開発へのシフトが進んでおり、セキュリティに対する責任はますます開発者に押し付けられている。残念ながら、現在のソフトウェア・セキュリティ・プラットフォームは開発者にとって使いにくく、開発者の時間を浪費している。Aikido セキュリティは、この課題を解決するために設立されました。

プレシードラウンドは、幸運なことに、多数の適格な（エンジェル）投資家の支援を受けている。シンジケート・ワン、Pieterjan Bouten (Showpad)、Louis Jonckheere (Showpad)、Christophe Morbee (Besox)、Mathias Geeroms (OTA Insight)が参加を決定しました。Aikido セキュリティは、彼らのサポートと専門知識を頼りにできることを幸運に思います。

「ソフトウェア・セキュリティ・ツールのおかげで、CTOとしての生活が難しくなった」。

とAikido Securityの創設者兼CTOのWillem Delbareは言う。「私はこれまで多くの製品をテストしてきましたが、どれも同じ問題を抱えています。誤検知で過負荷をかけ、通知で迷惑をかけ、トリアージが大変です。とても疲れることがわかりました。我々はこれを解決することにした。

チームは、Aikido Securityに集結する前に様々な業界で製品を成功させた経験豊富な起業家で構成されています。創設チームは、ウィレム・デルベール（チームリーダー、Officient）、ローランド・デルルー（Showpad、Officient）、アンバー・ラッカー（Veriff、Cloudbees）、フェリックス・ガリオー（nexxworks、AREA42）で構成されています。

Aikido 最近、製品のアルファ版を完成させ、アーリーアダプターの顧客と積極的にテストを行っている。今回の資金調達により、同社はチームを成長させ、製品の機能を完成させ、顧客ベースを拡大することができる。

Aikido セキュリティについて

Aikido Securityは、開発者ファーストのソフトウェアセキュリティプラットフォームです。ソースコードとクラウドをスキャンし、解決すべき重要な脆弱性を表示します。誤検知を大幅に減らし、CVEを人間が読めるようにすることで、トリアージがスピードアップします。Aikido 利用することで、製品の安全性を簡単に保つことができ、本来の仕事であるコードを書く時間を取り戻すことができます。

ロックファイルは、一貫した依存関係の管理を通じて、ソフトウェアのサプライチェーンを保護する上で重要な役割を果たします。ロックファイルは、使用される依存関係の正確なバージョンを指定し、再現性を確保し、予期せぬ変更を回避します。

オープンソースライブラリやサードパーティパッケージが溢れる速いペースの開発環境では、ロックファイルはサプライチェーン攻撃に対する防御として機能する。依存関係を特定のバージョンにロックすることで、潜在的に危険なバージョンへの自動アップデートを防ぎます。

多くの開発チームはロックファイルを見落とし、その潜在能力を十分に活用できていません。この記事では、ソフトウェア・プロジェクトの完全性とセキュリティを確保する上でのロックファイルの重要性に焦点を当てます。

ロックファイルを理解する

ロックファイルは、プロジェクト内の各依存関係とそのサブ依存関係の正確なバージョンをキャプチャするファイルです。ロックファイルは、プロジェクトのすべてのインスタンスで、依存関係のバージョンの均一性を保証し、「依存関係の地獄」と潜在的なセキュリティリスクを防ぎます。

ロックファイルは言語ごとに異なり、フレームワークによって異なることもあるが、一般的には似たようなフォーマットに従う。

ジャバスクリプト - yarn.lock

lodash@^4.17.15：
  version "4.17.21"
 resolved "https://registry.yarnpkg.com/lodash/-/lodash-4.17.21.tgz#acfcd7438b5d260f06a1d052c2a3b32ddc91c6b8"
 integrity sha512-v2kDE6syb5rK+X8bykjh3W7n4P3NV8axFypa8DwO8DK+RVZk9vft6xEhjxzIlc6DCwCPkMKSk4eQF6QNHOu9pw==

react@^17.0.1：
  version "17.0.2"
 resolved "https://registry.yarnpkg.com/react/-/react-17.0.2.tgz#cdc8d94b0d7091f440c51d1427ff2a3d6e14e664"
 integrity sha512-y8vQ43+qMOpbD/3k1Vw4E4i4UgFqxMwI0AZc5fxyIfZK4kHRZ5Klg5zh/5Nq1Nk3JZqf6byFAkyoGZkbSnYt9w==

Python - poetry.lock

[[package]]
name = "requests"
version = "2.25.1"
description = "Python HTTP for Humans."
category = "main"
optional = false
python-versions = ">=2.7, !=3.0.*, !=3.1.*, !=3.2.*, !=3.3.*, !=3.4.*, <4"

[package.dependencies]
certifi = ">=2017.4.17"
chardet = ">=3.0.2,<5"
idna = ">=2.5,<3"
urllib3 = ">=1.21.1,<1.27"

このエントリでは、パッケージ名(click)、使用可能なハッシュ、正確なバージョン(8.0.3)を指定します。このような特定性により、開発環境、テスト環境、本番環境での一貫したインストールが保証されます。

パッケージ・マネージャーは、依存関係のインストールやアップデートの際にロックファイルを生成する。これらのファイルをプロジェクトのソースコードと一緒にバージョン管理にコミットすることが重要である。この習慣によって、すべてのプロジェクト貢献者が同一の依存関係を使用することが保証され、矛盾が減り、ビルドがより予測しやすくなります。

言語やパッケージ・マネージャーによって、独自のロックファイル・フォーマットがある：Node.jsはnpmのpackage-lock.jsonを使い、PythonはPipenvのPipfile.lockを使い、RubyはBundlerのGemfile.lockを使う。ロックファイルを使用することで、一貫性のある安全なプロジェクト基盤を維持し、依存関係管理に関連するリスクを軽減することができます。

サプライチェーン攻撃からの防御

オープンソースの依存関係を狙ったサプライチェーン攻撃は、ますます一般的になっている。攻撃者は、人気のあるライブラリを危険にさらし、悪意のあるコードを注入して、依存するプロジェクトに拡散させるかもしれません。ロックファイルは、このような攻撃に対する強力な防御を提供します。

依存関係のバージョンを正確に指定することで、ロックファイルは潜在的に危険なバージョンへの自動アップデートを防ぐ。これは、依存関係において脆弱性が特定された場合に非常に重要である。ロックファイルによって、プロジェクトは、チームが徹底的なテストの後にアップデートを決定するまで、既知の安全なバージョンで安定した状態を保つことができます。

以下はその例である。 パッケージロック.json ファイルは、Node.js プロジェクトで特定の依存バージョンをロックするために使用されます。これにより、プロジェクトで作業する全員がまったく同じバージョンをインストールすることが保証され、一貫性とセキュリティが促進されます。

{
  "name": "my-project",
  "version": "1.0.0",
  "lockfileVersion": 2,
  "requires": true,
  "packages": {
    "": {
      "name": "my-project",
      "version": "1.0.0",
      "dependencies": {
        "lodash": "4.17.21",
        "axios": "0.21.1"
      }
    },
    "node_modules/lodash": {
      "version": "4.17.21",
      "resolved": "https://registry.npmjs.org/lodash/-/lodash-4.17.21.tgz",
      "integrity": "sha512-v2kDE6syb5rK+X8bykjh3W7n4P3NV8axFypa8DwO8DK+RVZk9vft6xEhjxzIlc6DCwCPkMKSk4eQF6QNHOu9pw=="
    },
    "node_modules/axios": {
      "version": "0.21.1",
      "resolved": "https://registry.npmjs.org/axios/-/axios-0.21.1.tgz",
      "integrity": "sha512-pbkHfFgC6F4ltGeoyTeHRtUkZo/FZ9EoElV3MzDLeO2uYxLqGm6Qcbx93jUOJISyYSC/tzjK4NHH3MAYsDKUTA==",
      "dependencies": {
        "follow-redirects": "^1.10.0"
      }
    },
    "node_modules/follow-redirects": {
      "version": "1.14.1",
      "resolved": "https://registry.npmjs.org/follow-redirects/-/follow-redirects-1.14.1.tgz",
      "integrity": "sha512-0gh4nEbdUdDra9mJKpAB+Y4gG61sQiKsbiqS8c5LEnFOh8fbov3/xp0FnWE2+IxKTozhJSdEV8ujvQjU+Ub3dg=="
    }
  },
  "dependencies": {
    "lodash": {
      "version": "4.17.21",
      "resolved": "https://registry.npmjs.org/lodash/-/lodash-4.17.21.tgz",
      "integrity": "sha512-v2kDE6syb5rK+X8bykjh3W7n4P3NV8axFypa8DwO8DK+RVZk9vft6xEhjxzIlc6DCwCPkMKSk4eQF6QNHOu9pw=="
    },
    "axios": {
      "version": "0.21.1",
      "resolved": "https://registry.npmjs.org/axios/-/axios-0.21.1.tgz",
      "integrity": "sha512-pbkHfFgC6F4ltGeoyTeHRtUkZo/FZ9EoElV3MzDLeO2uYxLqGm6Qcbx93jUOJISyYSC/tzjK4NHH3MAYsDKUTA==",
      "requires": {
        "follow-redirects": "^1.10.0"
      }
    },
    "follow-redirects": {
      "version": "1.14.1",
      "resolved": "https://registry.npmjs.org/follow-redirects/-/follow-redirects-1.14.1.tgz",
      "integrity": "sha512-0gh4nEbdUdDra9mJKpAB+Y4gG61sQiKsbiqS8c5LEnFOh8fbov3/xp0FnWE2+IxKTozhJSdEV8ujvQjU+Ub3dg=="
    }
  }
}

このファイルの役割

• 特定バージョンのロック:
  ロックする ロダッシュ バージョン 4.17.21 そして アクシオス で 0.21.1.このプロジェクトをいつ、どこでインストールしても、これらの正確なバージョンが使用されるため、変更点やセキュリティ上の問題が含まれている可能性のあるバージョンに誤ってアップデートされるのを防ぐことができます。
• 依存関係ツリーをキャプチャ:
  のように、ネストされた依存関係が含まれます。 フォローリダイレクトで内部的に使用される。 アクシオス.
• セキュリティ・ツールをサポート:
  こんなツール Aikido このロックファイルを使用して、既知の脆弱性をスキャンする。このファイルには解決されたURLとバージョンハッシュが含まれているので、スキャナは以下のことができる：
  • リスクのあるパッケージを正確に特定する。
  • パッチを当てるか、安全な代替品を勧める。
  • 時間の経過に伴う依存関係の変更を追跡する。

ロックファイルを無視するリスク

ロックファイルをおろそかにすると、ソフトウェア・プロジェクトを不安定にし、危険にさらす可能性がある。ロックファイルがないと、依存関係のバージョンが環境間で異なることがあり、デバッグを複雑にする不整合につながります。このようなばらつきはとらえどころのないバグを引き起こし、プロジェクトを遅らせ、メンテナンスの負担を増加させます。

ロックファイルがなければ、依存関係の追跡は困難になる。明確な記録がないため、どのバージョンが使用されているかを判断することが難しくなり、サプライチェーン管理が複雑になる。脆弱性が発生した場合、開発者はリスクのある依存関係を迅速に特定するのに苦労し、対応に時間がかかる。

ロックファイルがない場合、自動アップデートは重大なリスクをもたらす。コントロールされていないアップデートは、危険なパッケージを導入し、プロジェクトをセキュリティ侵害にさらす可能性がある。評判の良いライブラリでさえも隠れた脅威が潜んでいる可能性があり、安全なコードベースを維持するためにはロックファイルの監視が非常に重要になります。

ロックファイル使用のベストプラクティス

ロックファイルを開発ワークフローに統合することで、その恩恵を十分に受けることができます。バージョン管理にロックファイルを含めることで、依存関係の単一の真実のソースを確立し、一貫した開発環境を促進します。このアプローチは、不要なばらつきを減らし、生産の信頼性を高めます。

定期的なロックファイルの更新と見直しは、脅威の早期発見に不可欠です。このプロアクティブな戦略により、チームは脆弱性に迅速に対処し、強固なセキュリティ体制を維持することができる。継続的な依存性評価のためのツールを活用し、ソフトウエアのサプライチェーンにおけるリスク検知を自動化する。

マニフェストファイルで依存関係を特定のバージョンに固定することは、セキュリティを強化します。この実践はロックファイルを補完し、不一致の場合のセーフティネットとして機能する。ロックファイルの重要性について開発チームを教育することは、依存関係の管理を真面目に行うことを強化し、全体的なセキュリティを強化する。

ロックファイルを使って依存関係を更新し続ける

依存関係を最新に保つには、自動化と徹底的なレビューを組み合わせる必要がある。定期的なロックファイルの更新は開発サイクルの一部であるべきで、一貫性を保ちながら、最新の機能強化やセキュリティ修正を取り入れる。定期的な更新は予期せぬ中断を最小限に抑え、セキュリティを強化する。

Dependabotのような自動化ツールは、新しい依存バージョンのプルリクエストを生成することで、アップデートを管理するのに役立ちます。これらのツールは継続的な監視を行い、タイムリーなアップデートを可能にし、チームが他のタスクに集中できるようにする。しかし、プロジェクトのニーズを満たし、問題を回避するために、変更をレビューすることは非常に重要です。

手動ロックファイル更新プロセスの開発も不可欠である。更新された依存関係をテスト環境に配備し、影響と互換性を評価する。このアプローチにより、中断を防ぎ、一貫性を維持し、頻繁なバージョン変更によるリスクを最小限に抑えることができます。

ロックファイルを開発プロセスに組み込むことで、進化するセキュリティの脅威に対してソフトウェアのサプライチェーンを強化することができます。ベストプラクティスを採用し、チーム内で依存関係を意識するようにすることが、堅牢なコードベースを維持するための鍵となります。サプライチェーンのセキュリティを強化する準備はできましたか？ Aikidoを無料で利用して、セキュリティの旅を簡素化しましょう。