セキュリティ研究者らは、人気のワークフロー自動化サービスZapierにある5つの独立した脆弱性を連鎖させることに成功した。これらが悪意のある攻撃者に先に発見されていた場合、数百万のユーザーアカウントおよびそれらのアカウントが接続するシステムへのアクセスが可能になっていたという。
セキュリティ企業Token Securityが公開したこれらの欠陥は、マルウェアや内部アクセスを必要としなかった。同社のレポートによると、唯一の前提条件は無料のZapierアカウントのみ。そこから研究者らは、個別に見ればありふれたものに見える脆弱性を連鎖させ、現代のインターネットで最も広く使われるサービスの一つへの侵入経路を開いた。
Zapierのソフトウェアは、メール、顧客関係ツール、決済処理システム、カレンダー、コードリポジトリ、その他数千のアプリケーション間でデータを移動させるよう設定できる。同社は8,000以上のサードパーティ連携をサポートし、数百万のユーザーを抱えると述べており、Zapierへの侵入は広範なサプライチェーン攻撃へとエスカレートしうる。
研究者らによると、攻撃はユーザーが自動化の一部として小さなコードを書く機能の脆弱性を悪用することから始まる。その機能を特定した後、研究者らはサービスが破棄しようとしたログイン資格情報を回収した。その資格情報がさらに、Zapierのプライベートなソフトウェアイメージを1,100以上保有する内部ストレージシステムを露出させ、そのうちの一つにはログイン済みのすべてのZapierユーザーのブラウザ内で動作するコードの公開鍵が含まれていた。
レポートによると、攻撃者がそのコードを更新した場合、プラットフォーム上で正規ユーザーとして振る舞い、新たな自動化を作成したり、既存の自動化を変更したり、ユーザーがすでに承認した外部サービスへの接続を利用したりすることが可能だったという。さらにそこから、完全に正規のアカウントに見える形で、メールの送信、ファイルの移動、顧客データベースからのレコード取得、メッセージの投稿などをプラットフォームに指示できた。
研究者らは、攻撃者が接続されたサービスのパスワードやログインキーを取得することはできないと強調した。それらはZapierのサーバーに残るためだ。しかし、一連の操作がZapier自体を通じて実行されるため、外部のシステムからはユーザー自身の行動に見えてしまう。
同じ研究中に発見された別の知見は、そのリスクがいかに現実的であるかを示している。研究者らは、Zapierが社内で使用している外部のAI企業の最高技術責任者の個人アカウントに紐付いた有効なキーを発見したと述べた。そのキーを使用し、研究者らはその幹部自身のGmailアカウントから自分たちが管理するメールボックスにメールを送信することができた。
Token SecurityはZapierにその機能の存在を伝えたが、実際には悪用しなかった。研究者らは、すべてのログイン済みZapierユーザーのブラウザ内で動作するコードに悪意のある更新をプッシュするために必要なアクセス権を持っていたことを確認した上で、2月に同社のバグバウンティプログラムを通じて調査結果を報告した。
研究者らによると、Zapierは4日以内にトリアージを行い、3週間以内に修正し、開示を許可するために同社と協力したという。同社はプログラムの最大報奨金である3,000ドルを支払い、パッチ適用前にこれらの脆弱性が悪用された証拠はないと述べている。
「開示プログラムの遅さを責める文化の中で、声に出して言う価値がある」とTokenのブログ投稿には書かれている。
ZapierはCyberScoopのコメント要請に応じなかった。
この出来事は、自動化プラットフォームやAIツールが、多数のサービスにわたってユーザーを代理して行動する常設の権限をますます付与されるようになっているタイミングで起きた。Token Securityの研究者らは、発見した脆弱性はZapier固有のものではないと主張した。連鎖の各リンクはよく知られた種類のミスであり、脆弱性は連鎖そのものにあったと述べ、同じパターンがまだ調査を行っていない他の企業にも高い確率で存在すると警告した。
Zapierは問題が修正済みであり、追加の対応は不要だと述べている。しかし研究者らは、機密性の高い業務を扱う組織に対し、自分たちが作成していない自動化がないか自動化ログを確認し、特に機密性の高いシステムへのZapier接続の再認証を検討するよう提案した。
完全な調査レポートはToken SecurityのWebサイトで読むことができる。
翻訳元: https://cyberscoop.com/zapier-bug-chain-account-takeover-patched/
