注目★★★★★Google Cloud
認証なしの Cloud Functions は危険、LFI/RFI で全クラウド環境が乗っ取られるリスク
30秒で把握
- 1Mandiant が認証なしの公開サーバーレスアプリケーションを頻繁に発見・LFI/RFI で全コンテナ制御可能
- 2カスタムコード + 第三者パッケージの組み合わせがコマンドインジェクション等の攻撃対象に・クラウド環境全体侵害のリスク
- 3Google が Cloud Run のハードニング戦略を公開・入力検証と依存関係管理の即実施が必須
要約
Google Cloud の Mandiant セキュリティ評価では、認証なしで公開されたサーバーレスアプリケーションが頻繁に検出されている。Local/Remote File Inclusion (LFI/RFI) やコマンドインジェクション攻撃に成功すると、攻撃者はコンテナインスタンスを完全制御でき、クラウド環境全体の侵害につながる可能性がある。ビジネス要件で認証を省略せざるを得ないケースもあるが、Google Cloud Run 等のサーバーレス環境では、カスタムコードと第三者パッケージの組み合わせが攻撃対象となりやすい。Google は実装例とハードニング戦略を提供し、組織が適切なセキュリティ対策で初期アクセスを防ぐ必要があると指摘している。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約