記事本文(要約)
サイバーセキュリティ研究者がGoogle Cloud Platform (GCP)のCloud Composerサービスにおける脆弱性を明らかにしました。この脆弱性「ConfusedComposer」は、Apache Airflowを基盤とするCloud Composerで権限昇格を可能にし、攻撃者がCloud Buildサービスアカウントの高レベルな権限を取得できるものでした。この脆弱性はTenableによって報告され、GCPの他のサービスも影響を受ける可能性があったため重要視されています。攻撃は、攻撃者がCloud Composer環境を編集する権限を持つことが前提で、その環境に悪意のあるPyPIパッケージをインストールすることで、任意のコードを実行できるようにするといったものでした。
Googleはこの脆弱性に対応し、2025年4月13日までに修正を施し、Cloud Buildサービスアカウントの使用を停止し、環境のサービスアカウントを代わりに使用するよう変更しました。また、他にもMicrosoft AzureやAWSの脆弱性が報告されており、Azure SQL ServerとMicrosoft Entra ID、AWSのEC2インスタンスでの脆弱性も修正されています。これらの事例はクラウドサービスの相互作用がどのようにセキュリティ問題を引き起こすかについての重要な警告となっています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 22 Apr 2025 19:36:00 +0530
Original URL: https://thehackernews.com/2025/04/gcp-cloud-composer-bug-let-attackers.html
詳細な技術情報
- CVE番号
- 現時点では特定のCVE番号は公開されていないようです。ただし、脆弱性は「ConfusedComposer」として識別されています。
- 脆弱性の仕組み
- この脆弱性は、GCPのCloud Composerサービスにおける権限昇格の問題に関連しています。Cloud ComposerはApache Airflowに基づくワークフローのオーケストレーションサービスであり、ユーザーは任意のPyPIパッケージをカスタム環境にインストールすることが可能です。この脆弱性を悪用すると、攻撃者はCloud Composerの環境における更新権限を利用して、Cloud Build内で任意のコードを実行し、高度な権限を持つデフォルトのCloud Buildサービスアカウントへのアクセスを可能にします。
- 攻撃手法
- 1. 権限の取得: 攻撃者はまずCloud Composer環境への編集権限を取得します(例:`composer.environments.update`権限)。
- 2. 悪意のあるパッケージの導入: 悪意のあるPython Package Index (PyPI)パッケージを環境に注入します。
- 3. 任意コードの実行: このパッケージ経由でCloud Buildにおいて任意のコードを実行し、デフォルトのCloud Buildサービスアカウントの権限を悪用します。
- 潜在的な影響
- データ漏洩: 攻撃者はCloud StorageやArtifact RegistryなどのGCPサービスにアクセスし、敏感なデータを漏洩させる可能性があります。
- サービスの中断: 不正なコードの挿入や権限の不正行使によって、CI/CDパイプラインが妨害される可能性があります。
- 持続的なアクセス: バックドアを設置することで、攻撃者はクラウド環境への持続的なアクセスを確保できるかもしれません。
- 推奨される対策
- 権限の見直し: Cloud Composer環境の編集権限を持つユーザーを厳密に制限し、最小権限の原則を適用します。
- 侵入検知システムの導入: 異常な動作や不正アクセスを早期に検知するために、クラウドベースの侵入検知システムを導入します。
- パッチの適用: Googleが提供する修正パッチを適用し、環境のサービスアカウントをデフォルトのCloud Buildサービスアカウントから自分の環境のサービスアカウントに移行します。
- セキュリティ監査: 定期的に環境のセキュリティ設定をレビューし、ポリシー違反や脆弱性を早期に発見できるようにします。
