本ブログは、Mitigating SSRF Vulnerabilities Impacting Azure Machine Learning の抄訳版です。最新の情報は原文を参照してください。
概要
2024 年 5 月 9 日 (米国時間)、マイクロソフト は、セキュリティ調査会社の Wiz 社 と Tenable 社によって最初に発見された Azure Machine Learning (AML) サービス 内の複数の脆弱性に対処しました。これらの脆弱性には、サーバーサイド リクエスト フォージェリ (SSRF) やパス トラバーサルの脆弱性が含まれ、サービス拒否 (DOS) による情報漏洩やサービス中断の潜在的なリスクをもたらしました。マイクロソフトは、これらの脆弱性を利用したお客様のリソースの悪用や侵害を特定するために徹底的な内部調査を実施しましたが、調査の結果、悪用や侵害の証拠は見つかりませんでした。
私たちは、信頼と透明性への取り組みに沿ってこれらの脆弱性を開示します。このアップデートは、お客様への周知のみを目的としています。お客様による対応は必要ありません。
脆弱性
マイクロソフトは、2024 年 4 月に Wiz 社 と Tenable 社 から SSRF の脆弱性に関する報告を受けました。エンジニアリング チームによる対応により、2024 年 5 月 9 日(米国時間) までに緩和策を迅速に展開しました。
これらの脆弱性により、内部 IP を含む可能性のある HTTP クライアントによる不正な要求が発生する可能性があります。内部IPは、AML の内部である Kubernetes インフラストラクチャにアクセスすることが可能で、ネットワークやポッド情報などのバックエンドメタデータを公開し、AML サービスの運用を妨害するために使用される可能性があります。すでにセキュリティ対策は実施していましたが、脆弱性は特定の検証をバイパスしたため、セキュリティ対策を強化する必要があることが明らかになりました。
緩和
SSRF 攻撃ベクターは、2024 年 5 月 9 日(米国時間) にクライアント入力と HTTP リダイレクトの厳格な検証の実装により、効果的にブロックしました。継続的なセキュリティの取り組みの一環として、すべてのサービス間のネットワーク トラフィックも評価し、ネットワーク内通信に対してより厳格な制御を適用する予定です。また、さらに広く、パートナーのオープンソース ソフトウェア チームと協力して、追加のメタデータなしで不正なアクションを要求することを困難にすることで、他のユーザーを支援する多層防御の強化にも取り組んでいます。
まとめ
私たちは、Wiz 社 や Tenable 社と協力する機会に感謝し、すべての研究者が協調的な脆弱性開示 (CVD) の下でベンダーと協力し、セキュリティ調査の実施中に顧客データに影響を与えないように侵入テストのエンゲージメント ルールを遵守することを推奨しています。Microsoft Security Response Center にセキュリティ問題を報告した研究者は、マイクロソフトの バグ報奨金プログラム に参加することができます。
マイクロソフトは、セキュリティの脆弱性の検出、報告、修復を体系的かつ責任を持って管理する CVD に従います。CVD により、ユーザーのセキュリティとシステムの整合性を優先した方法で、研究者やより広範なセキュリティコミュニティと協力することができます。協調的な取り組みに従うことで、研究者と協力して、潜在的な脆弱性が公開される前に対処できるようにし、悪用のリスクを軽減し、安全で透明性の高いエコシステムを育むことができます。