ビジネスサポートポータルアカウントでログイン
 

アラート/アドバイザリ:Deep Security as a Serviceにおける権限昇格の脆弱性について

    • 更新日:
    • 30 Dec 2019
    • 製品/バージョン:
    • Trend Micro Deep Security as a Service
    • OS:
概要

Trend Micro Deep Security as a Service(以下、DSaaS)における権限昇格に関する脆弱性の詳細、および対策について教えてください。

詳細
Public

脆弱性の概要

該当する脆弱性影響を受けるサービスCVSS3.1スコア深刻度
CVE-2019-18191Deep Security as a Service7.5 - AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 高

※Trend Micro Deep Securityのパッケージ版は本脆弱性の影響を受けません。

脆弱性の詳細

弊社提供のSaaSサービス、DSaaSにおいて以下の脆弱性が確認されました。

DSaaSのアマゾンウェブサービスアカウント(以下AWS/AWSアカウント)のアカウント追加機能にて、

セットアップタイプの「クイック」機能を使用してAWSアカウントを追加した場合、AWSアカウントユーザの権限を昇格される可能性があります。

なお、本脆弱性を悪用するためには、攻撃者があらかじめ攻撃対象のAWS アカウントの十分な権限を取得しておく必要があります。

「AWSクラウドアカウントの追加」機能の詳細についてはDeep Securityヘルプセンターを参照してください。

現時点では本脆弱性を悪用した事例が確認されていませんが、下記の「脆弱性の影響を受ける条件」に一致する環境においては後述の「脆弱性への対処方法」を参考に早急に対処いただくことを推奨いたします。

脆弱性の影響を受ける条件

本脆弱性は、以下の1~3の条件が【全て該当する場合】に影響を受ける可能性があります。条件に合致する場合は後述の「脆弱性への対処方法」を参考に早急に対処いただくことを推奨いたします。

 

1. DSaaSを使用している

2. AWSアカウントの管理者権限でAWSコネクター設定を実施し、なおかつクイックセットアップで設定を行った

 (クイックセットアップ設定についてはDeep Securityヘルプセンターを参照してください。)

3. 設定後にCloud Formation templateから対象のスタックを削除していない

 

なお、以下のいずれかに該当する場合、本脆弱性の影響は受けません。

 

 - Deep Security AWS Marketplace版を使用している

 - Deep Securityのソフトウェアパッケージ版でDeep Security Managerを自身の環境に構築している

 - セットアップタイプで「クイック」ではなく「詳細」を選択してAWSクラウドアカウント追加を行った

 - IAMキーでAWSクラウドアカウントの追加を行った

 - Deep SecurityのAPIでAWSクラウドアカウントの追加を行った

脆弱性への対処方法

方法1:手動削除

AWSの管理コンソールから Cloud Formation > スタック画面を開き、DeepSecuritySetupで始まるスタックを削除します。

スタックはデフォルトでus-east-1(米国東部バージニア北部)に作成されます。

スタックを削除してもDSaaSに追加済みのAWSアカウントへの影響はありません。

 

方法2:削除スクリプト

専用の削除スクリプトをAWS CLIで実行することにより、対象のスタックを削除することができます。

DSaaS管理コンソールにログインして、URLの末尾に/QuickSetupCleanup.screenを追記すると、該当スクリプトの詳細を確認することができます。

Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000158651
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド