TokyoBlackHatNews

cyberpress.org 4分で読了

ZapocalypseアタックチェーンによるZapierアカウントへのフルテイクオーバーAttack Chain Enables Full Zapier Account Takeover

「Zapocalypse」と名付けられた新たに公開されたエクスプロイトチェーンは、Zapier内の低権限コード実行機能が、プラットフォーム全体のアカウント乗っ取りに影響を及ぼすサプライチェーン攻撃経路へと連鎖し得ることを実証しています。

Token Securityは、同社の研究者が2026年6月1日に開催されるfwd:cloudsec北米大会でこのフルチェーンを発表すると述べています。

この攻撃は「Code by Zapier」から始まります。これは、ユーザーがZap内で任意のPythonまたはJavaScriptを実行できる正規のプロダクト機能です。

Token Securityの研究チームは、このサンドボックスがAWS Lambda環境内で動作しており、os.system()が制限なく実行され、最初の足がかりとしてOSレベルのコマンドアクセスを提供することを確認しました。

ステージ2における重要な知見はアーキテクチャ上のものです。ZapierのLambdaハンドラーは、ユーザーコードを実行する前にdel os.environ[k]を使用してAWS認証情報を削除していました。

しかし、Pythonのdel演算子は参照を削除してunsetenv()を呼び出すだけであり、ヒープ上の実際のバイト列はゼロ化されません。Lambdaコンテナは多数の呼び出しをまたいでウォームスタートされるため、過去の呼び出しで使われた孤立したSTSセッショントークンがプロセスメモリ上に残存します。

研究チームは、既知のAWSキープレフィックスに固定した正規表現パターンで/proc/self/memをスキャンすることで、有効な認証情報を回収しました。回収したSTS認証情報を手に、研究者たちはラテラルムーブメントに着手しました。

IAMロール「allow_nothing_role」は、その名称から制限的なポリシーが連想されますが、実際にはecr:DescribeRepositories、ecr:ListImages、ecr:BatchGetImage、ecr:GetDownloadUrlForLayerを許可していました。

それだけで、1,000以上のリポジトリを含むZapierのプライベートコンテナレジストリを列挙してプルするには十分でした。

ecr:GetAuthorizationTokenがブロックされていたため、研究チームはDockerを完全に迂回し、直接ECR APIコールとプリサインドS3 URLを経由してコンテナレイヤーをプルしました。これはDockerベースの監視やレジストリ側の監査ログを回避するテクニックです。

プルしたイメージをスキャンした結果、研究者たちはコンテナのファイルシステムではなく、Dockerのビルドステップを記録するイメージ設定の履歴メタデータの中に、高権限のNPMパブリッシュトークンを発見しました。

CI上のARGまたはENV命令がトークンをイメージにシリアライズしており、BatchGetImage権限を持つ者であれば誰でも参照できる状態になっていました。

そのトークンはwriteスコープを持ち、そのアカウントが公開できるすべてのパッケージに適用され、インタラクティブなMFAを完了できないCIトークンの標準仕様としてbypass_2fa: trueが設定されていました。

そのトークンにより、zapier-design-systemへの公開権限が得られました。これは、認証済みのzapier.comセッション上で必ずロードされることが確認されているプライベートパッケージです。

改ざんされたバージョンを公開すれば、攻撃者が制御するJavaScriptをログイン中のユーザーのブラウザに直接注入でき、Zapier自身のオリジン内でクロスオリジン制限なしにプラットフォーム全体のアカウント乗っ取りが可能になっていました。

実際のところ、攻撃者は生のOAuthトークンやサードパーティのAPI認証情報を取得できたわけではありません。それらはサーバー側に保持されたままです。

しかし、被害者のZapier上での操作として、被害者の既存のアプリ接続を使ってZap、Tables、MCPサーバー、ワークフローを作成・変更することが可能でした。

別途発見された、より限定的な事例として、プルしたLiteLLMコンテナイメージ内にZapier Actions MCPキーがハードコードされていたことが挙げられます。このキーはLiteLLMの共同創業者のアカウントにスコープされており、そのGmail接続を通じてメールを送信できる状態でした。これは、埋め込まれたシークレットが、より広範なチェーンとは独立して即座なアイデンティティリスクをもたらす事例を示しています。

Token Securityは2026年2月12日に脆弱性を報告しました。Zapierは数時間以内に報告を受理し、NPMトークンを失効させ、2月16日までにECRロールポリシーを強化しました。

完全な修正は2026年3月5日に確認されました。プログラムの最大報奨金である3,000ドルが支払われ、Zapierはその上限の見直しを約束しました。

Zapocalypseは、サプライチェーンへの波及力がしばしば通常の設定ミスから始まることを改めて示しています。

ランタイムの分離、IAMの最小権限、シークレットの取り扱い、パッケージ公開の管理が複合的に失敗した場合、一見普通のサンドボックス機能がプラットフォーム全体の侵害への第一歩となり得ます。

翻訳元: https://cyberpress.org/zapocalypse-attack-chain-zapier/

ソース: cyberpress.org
#AWS Lambda #IAM権限昇格 #NPMトークン漏洩 #Zapier #アカウント乗っ取り #コンテナセキュリティ #サプライチェーン攻撃 #サンドボックス脱出 #メモリスキャン #脆弱性開示

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に