情報を改ざんして安全なクラウドシステムにアクセス：NSA、最大級のセキュリティ侵害になる可能性があると警告

米国家安全保障局（NSA）は、ハッカーがクラウド上の認証情報を改ざんして、安全なシステムへのアクセスを狙っていると警告している。

具体的には、このアラートは、VMwareのWorkspace One Access、Access Connector、Identity Manager、Identity Manager Connectorに影響を与える、11月に発見されたコマンドインジェクションの脆弱性であるCVE 2020-4006に言及しています。

何がバグなのか？

NSAによると、ハッカーはこのエラーを使ってクレデンシャルを偽造し、保護されたファイルにアクセスできるようにしています。具体的には、犯罪者がローカル環境で特権的なアクセスを利用して、クラウドのアクセスメカニズムやローカルリソースを迂回させています。さらに、これにより、クラウドリソースを管理する能力を持つ管理者の資格情報を危うくすることができます。

NSAは、これらの技術はすべて、ローカルのフェデレーション認証をサポートするすべてのクラウド環境に適用できるとアドバイスしています。しかし、Microsoft Azureに焦点を当てた具体的な緩和策がいくつかあります。

NSAは、この欠陥が史上最大の脆弱性の一つになる可能性があると主張しています。実際、SolarWindsのセキュリティインシデントを例に挙げ、「ローカルシステムが侵害され、連携認証の悪用やクラウドへの悪意あるアクセスにつながる深刻な例」だと主張している。

セキュリティに関する推奨事項

NSAは、VMwareやその他のアプリケーションを使用している人が、ローカルのアイデンティティとフェデレーションサービスを実行しているシステムを強化し、監視することを推奨しています。また、クラウド上のシングルユーザーのログイン設定をロックし、エンゲージメント指標を監視する必要があると考えています。

NSAは、このセキュリティ問題がサイバー犯罪者だけでなく「国家」にも利用されていることを否定していない。特筆すべきは、SolarWindsの場合、すべてが国家による特別な標的型攻撃であることを示していることだ。

NSAによると、これらの戦術、技術、手順を他の脆弱性と組み合わせて初期アクセスを得ることができるという。同庁によると、初期アクセスは、既知および未知の脆弱性を含む様々な手段を使って達成することができます。

NSAは、認証機構の悪用を検出するためのコンピュータグラフィックとして、短いガイドを公開しています。