Tenable(テナブル)は、同社のTenable Researchチームが、「クラウドインポーザー」と称する危険なリモートコード実行(RCE)脆弱性を発見したことを公開した。
悪意のある者がこの脆弱性を悪用すれば、数百万にのぼるGoogle Cloud Platform(GCP)のサーバーや利用顧客のシステムで、コードが実行される可能性があるという。この脆弱性の検出によって、Google Cloudサービスにセキュリティギャップがあることが明らかになったとしている。特に影響を受けているのは、App Engine、Cloud Function、Cloud Composerとのことだ。
GCPおよびPython Software Foundationの文書の分析が解明したこの脆弱性によって、これらのサービスが「依存関係かく乱」と呼ばれるサプライチェーンの攻撃を受けやすい状態であったことが判明。「依存関係かく乱」という攻撃のテクニックは数年前から知られていたものの、Tenableの調査によれば、特にGoogleのような大手のテクノロジープロバイダーでさえ、この問題に対する認識と予防対策が不足していることが示されたという。
この問題が重要な理由
クラウド環境におけるサプライチェーンの攻撃は、オンプレミス環境に対する攻撃よりも指数関数的に損害が拡大する可能性があるという。悪意のあるパッケージが一つでもクラウドサービスの中にあれば、大規模なネットワークに広がって、何百万のユーザーに影響を与える可能性があるとのことだ。
ポイント
クラウドセキュリティは、サービス提供者と利用者双方の協力が必要だという。Tenableは、「依存関係かく乱」のリスクを軽減させるために、クラウド利用者が自社環境を分析し、パッケージのインストール手順、特にPythonの--extra-index-url引数を確認することを推奨している。
Googleは、Tenableによる開示を受け入れて問題を解決したとのことだ。
【関連記事】
・シチズン時計、脆弱性管理にTenableを採用 オンプレミス資産の監視と管理を簡単に
・中部電力パワーグリッド、Tenable OT Securityを導入 資産監視と管理状況の可視化へ
・慶應義塾大学SFC、セキュリティ強化に向けTenableのデジタル資産可視化ソリューション導入
