ログの中に重要情報｜ブログ(ほぼこもセキュリティニュース)

ほぼこもセキュリティニュース　By Terilogy Worx

ログにはいろいろな情報が記録されます。
1行のログでは意味を持たないようなログでも多くの行のログを総合的に解釈すると一定の意味を導き出すことができる場合があります。
それをくみ取ってそれを運用に活かすようなことも可能になります。
しかしなかには、1行のログのみで重要な情報を示すものもあります。

ログはシステムを作成する際に検討され、何らかの意図をもって記録の必要性が想定された情報を記録します。
しかし、ときにそれが記録すべきではない情報を含む場合もあります。

VMware Tanzu Application Service for VMs（以下TAS）という製品があります。
この製品は、コンテナによって仮想化されたアプリケーションのデプロイや管理を効率化する機能を複数クラウドの環境で利用できるようにするものです。
複雑なシステム構成で運用されるシステムでも、これをうまく使うと業務の効率が大きく改善します。

この製品のシステム監査ログの中に、16進数エンコーディングで認証情報が記録される脆弱性がありました。
TASの管理ユーザの認証情報です。
この脆弱性が存在する状態のままの場合、ユーザーの介入を必要としない複雑さの低い攻撃で、低い権限を持つリモート攻撃者がパッチが適用されていないシステム上のTAS管理者認証情報にアクセスできる可能性があります。

この脆弱性に対応する修正はすでに提供されています。
しかし漏洩してしまったかもしれない認証情報があることになりますので、TAS管理者のパスワードを変更したいと考えるのが普通です。
ここで注意が必要です。
通常思いつくのは普通のパスワード変更です。
しかしTAS管理者の場合、この方法で単純にパスワード変更を実施してしまうとローカルで変更されるのみとなってしまいます。
その結果、複数のクラウド環境で連携して利用できる機能の前提条件が破綻してしまい、従来TASで実現していた各種ジョブ実行が失敗するようになってしまいます。
これを回避してうまく環境全体のパスワードを変更する場合、TANZUのサポートサイトにある手順に従って変更する必要があります。
しかしここでも注意が必要です。
ここで公開されている手順でのパスワード変更は製品出荷時の検査が実施されていないということなのです。
パスワード変更の実施手順はサポートサイトで確認できるけれども、その実行はユーザの自己責任で実施する必要があるということになります。
厳しい話です。
パスワード変更をどうするかということもありますが、とりあえず手元にTASがあったらパッチ適用ができていることを確認しないとですね。

この例に限った話ではありませんが、脆弱性の対応は面倒な場合が多いと思います。
しかし、その面倒な対応を速やかに実施しないことは、後でもっと面倒なことの原因になってしまうこともありそうです。
安全のためということもそうですが、担当者としての自分自身のためにも、タイムリーに対応していきたいと感じました。