IT掲示板
IT掲示板海外技術情報を日本語でキャッチアップ
HN🔥 161
💬 71

国防総省(DoD)請負業者のシステムに侵入!マルチテナント認可脆弱性を突く

bearsyankees
約18時間前

ディスカッション (11件)

0
bearsyankeesOP🔥 161
約18時間前

国防総省の契約企業のシステムを調査していたところ、深刻なマルチテナント認可の脆弱性を見つけました。システムの境界を越えて、本来アクセス権のない他のテナントのデータにアクセスできてしまうという非常に危険な状態でした。本記事では、この脆弱性をどのように発見し、再現したのか、その技術的なプロセスを詳しく解説します。

🔗 リンク先:https://www.strix.ai/blog/how-strix-found-zero-auth-vulnerability-dod-backed-startup
1
bryancoxwell
約18時間前

CEOからの最初の返信:「脆弱性が何なのかぜひ聞きたいが、報酬を狙っているんだろう?それが狙いか?」

いや、これはかなり致命的だな。

2
janice1999
約17時間前

ついにAIセキュリティスタートアップの連中が、他のテックスタートアップの連中を締め上げるようになるのか。壊滅的な情報漏洩やユーザーのプライバシーを完全無視するような時代がこれで終わればいいけど(まあ無理だろうな)。

3
codegeek
約17時間前

「意味のある組織スコープの設定も、テナントの分離も、権限チェックもなく、低権限のユーザーが他組織のレコードにアクセスできていた」

まあ予想通り。これでもSOC2とかISO準拠って言ってるんだろ?

4
tardedmeme
約17時間前

Handalaグループが最近サービスメンバーのリストを盗み出したのは、こういう仕組みなのかな。

広大なインターネットの海から、みんな一体どうやってこんな脆弱性を見つけてるんだ?適当なAPIスキャナーを走らせてAPIを片っ端から探してるのか?

5
tptacek
約17時間前

第一印象:脆弱性の事例としてはかなり退屈な部類。結局ここでのターゲットは、知ってる人が少なかったから守られていただけ。このブログ記事で一番手間がかかってるのは、国防総省がデプロイしたトレーニングプラットフォームが、企業でどこにでもあるような退屈なアプリより機密性が高いことを証明した点くらいかな。

脆弱性そのものは、mitmproxyを使えば誰でも数分で見抜けるようなものだったみたいだね。アプリ全体でオブジェクトIDが順繰りになってるだけで、意味のある認可チェックもなかったとか。

AIシステムが自律的にアプリを触って、明白な認可漏れパターンを「理解」して見つけ出すのは面白いかもしれない。まあ、「ふーん、なるほどね」くらいの面白さだけど。

6
neilv
約16時間前

この開示を受けて二つ質問がある:

  1. 限られた権限内でのバグバウンティプログラムについては言及がなかったけど、独立した研究者が法的に安全にこれをやるにはどうすればいい?特に国防総省が絡んでいる場合はなおさらだよね。

  2. 国防総省のコントラクターに脆弱性を見つけたのに、相手が解決に動いてくれない場合、研究者が安全かつ有効に報告できる国防総省の窓口ってあるの?

7
mcoliver
約16時間前

これは多くのスタートアップで見てきたことだ(自分もギャップを埋めてベストプラクティスを導入する仕事をしてきた)。トップティアのVCから支援を受けているようなところでもね。そもそもセキュリティ意識の高い人がスタートアップにいることが稀なんだ。

大抵はデザイナー、資金調達できる人、APIを繋ぎ合わせるジェネラリストばかり。プラットフォームやDB、セキュリティを深く理解している人はまずいない。VercelやSupabaseみたいなツールの普及で、さらに状況が悪化してる。

だからAPIキーをクライアントサイドに置いたり、RLSなしでDBを運用したりする。匿名でいいはずなのにサービスキーをクライアントサイドにデプロイしたりね。本当に基礎的なことだよ。

8
stephbook
約14時間前

テナントスコープの設定は大事だよ。Microsoftに聞いてみなよ。bing.comでやらかしてなかったか?
ああ、Bingユーザー全員がMicrosoftの全データ(例えばO365のメールとか)をハックされるリスクに晒されてたんだっけ。大したことないよね。

https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration

9
BobbyTables2
約13時間前

向こうが親切すぎるような気がする。90日経っても反応がないなら、さっさとフルディスクロージャーしちゃえばいいのに。

このCEO、会社の商品を守ることより、相手を侮辱することに必死みたいだし。

10
luminati
約13時間前

スレチだけど、AIペネトレーションテストがかなり気になってる。今まで利用してきたペンテスト会社には正直ガッカリさせられてばかりだったし。ぼったくりだったり、かなり中途半端なテストしかしてくれなかったり(もちろん優良な会社があるのは分かってるけど、今我々がClaudeでコードを書くスピードには到底追いつけない)。

オープンソースのペネトレーションツールも色々試したよ。strixとか(最後まで動かせなかったけど)。
「shannon」っていうプロジェクトだけはちゃんと動いて、1万ドルのペンテストの結果を余裕で凌駕してた(ペンテスト会社のレポートが出た後にshannonを見つけたんだけど、いい比較材料になった)。 caveatとして、うちはホワイトボックスでペンテスト会社はグレーボックスだったけど、それでも結果は惨憺たるものだった。50ドル対1万ドルなんて比較にならないよ(笑)。結果は遥かに上だし、CTOは心臓発作を起こしかけてた。

ペンテスト会社の時代は終わったと思うよ。特にmythosや5.5-cyberみたいな機能が実用化されつつある今、これからが本当に楽しみだ!