Trend Micro Deep Security as a Service(以下、DSaaS)における権限昇格に関する脆弱性の詳細、および対策について教えてください。
脆弱性の概要
| 該当する脆弱性 | 影響を受けるサービス | CVSS3.1スコア | 深刻度 |
| CVE-2019-18191 | Deep Security as a Service | 7.5 - AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H | 高 |
※Trend Micro Deep Securityのパッケージ版は本脆弱性の影響を受けません。
脆弱性の詳細
弊社提供のSaaSサービス、DSaaSにおいて以下の脆弱性が確認されました。
DSaaSのアマゾンウェブサービスアカウント(以下AWS/AWSアカウント)のアカウント追加機能にて、
セットアップタイプの「クイック」機能を使用してAWSアカウントを追加した場合、AWSアカウントユーザの権限を昇格される可能性があります。
なお、本脆弱性を悪用するためには、攻撃者があらかじめ攻撃対象のAWS アカウントの十分な権限を取得しておく必要があります。
「AWSクラウドアカウントの追加」機能の詳細についてはAWSアカウントの追加についてを参照してください。
現時点では本脆弱性を悪用した事例が確認されていませんが、下記の「脆弱性の影響を受ける条件」に一致する環境においては後述の「脆弱性への対処方法」を参考に早急に対処いただくことを推奨いたします。
脆弱性の影響を受ける条件
本脆弱性は、以下の1~3の条件が【全て該当する場合】に影響を受ける可能性があります。条件に合致する場合は後述の「脆弱性への対処方法」を参考に早急に対処いただくことを推奨いたします。
1. DSaaSを使用している
2. AWSアカウントの管理者権限でAWSコネクター設定を実施し、なおかつクイックセットアップで設定を行った
(クイックセットアップ設定についてはクイックセットアップを使用してAWSアカウントを追加するを参照してください。)
3. 設定後にCloud Formation templateから対象のスタックを削除していない
なお、以下のいずれかに該当する場合、本脆弱性の影響は受けません。
- Deep Security AWS Marketplace版を使用している
- Deep Securityのソフトウェアパッケージ版でDeep Security Managerを自身の環境に構築している
- セットアップタイプで「クイック」ではなく「詳細」を選択してAWSクラウドアカウント追加を行った
- IAMキーでAWSクラウドアカウントの追加を行った
- Deep SecurityのAPIでAWSクラウドアカウントの追加を行った
脆弱性への対処方法
方法1:手動削除
AWSの管理コンソールから Cloud Formation > スタック画面を開き、DeepSecuritySetupで始まるスタックを削除します。
スタックはデフォルトでus-east-1(米国東部バージニア北部)に作成されます。
スタックを削除してもDSaaSに追加済みのAWSアカウントへの影響はありません。
方法2:削除スクリプト
専用の削除スクリプトをAWS CLIで実行することにより、対象のスタックを削除することができます。
DSaaS管理コンソールにログインして、URLの末尾に/QuickSetupCleanup.screenを追記すると、該当スクリプトの詳細を確認することができます。
