改修されたAmazon Elastic Kubernetes Service

Amazon Elastic Kubernetes ServiceはAWSで利用できるKubernetes環境です。
Amazon Elastic Kubernetes ServiceはEKSと呼ばれます。
EKS環境において脆弱性が発見され、修正されました。
その脆弱性はCVE-2022-2385です。

EKSはさまざまな要素を組み合わせて構成されます。
そしてEKSではさまざまなデプロイ方法を選べます。
AWSクラウドやオンプレミス（Amazon EKS Anywhere）を組み合わせたような構成も実現できます。
このときに分散配置された構成要素はIAMを使って認証を実施します。
これを実現するのがAWS IAM Authenticatorです。

このAWS IAM Authenticatorの実装の中に3つの脆弱性があったことが確認されました。
リプレイ攻撃に対する保護をバイパスしたり、攻撃者が他のIDになりすましてクラスター内でより高いアクセス許可を取得したりする可能性のある内容となっていました。
そしてこれら3つの脆弱性はすべて、同じコード行が原因で発生したものでした。

3つのうちの2つは2017年10月12日以降に存在し、残りの1つは2020年9月2日以降に成り立つ状態となっていました。
今回、AWS IAM Authenticatorコンポーネントの調査中にこの問題の存在が確認され修正されました。
修正は運用中の顧客環境に適用され、元のコードにも修正がコミットされました。
このため、現時点において利用者は対応のための活動を実施する必要はありません。

この問題は問題が悪用可能な状態となってから修正されるまでの期間が非常に長いものでした。
実際のこの問題を悪用する動きがどのくらい存在していたのかについては明らかになっていません。

コードのなかのほんの1行の記述が問題で、重大な問題がいくつも実現してしまったという例と言えます。
システムはいろいろな要素が組み合わさって実現されます。
システムにほころびが1つでもあるとそこを始まりとしてシステムの安全性の前提が覆ることになる場合があります。
これはコードを記述するという場合に限らず、運用の場面でも同じことが言えるのではないでしょうか。

参考記事（外部リンク）：Exploiting Authentication in AWS IAM Authenticator for
Kubernetes
blog.lightspin.io/exploiting-eks-authentication-vulnerability-in-aws-iam-authenticator