サイバーセキュリティOxeyeがSpotifyの人気開発ツールに抜け穴を発見

Spotifyといえば、Discover Weeklyを思い浮かべたり、本当にこのアプリを自分の好みのPodcastプレイヤーにしたいのか？という疑問を抱いたりすることが多いですが、スウェーデン企業の開発の1つは、実はBackstageと呼ばれる超人気開発者ツールで、大企業や有名企業にも利用されています。ところが、イスラエルのスタートアップが最近、これに興味深いセキュリティ上の弱点を発見しました。

Backstageは、Spotifyが開発チーム向けに社内開発したツールです。このツールは、同社のすべての開発プロセスやクラウドサービスに接続するポータルを構築することを可能にし、開発チームはどのツールやサービスが稼働しているかをリアルタイムで確認し、そうしたサービスにアクセスし、アプリケーションをインストールし、さまざまなサービスのドキュメントを読むことができます。

Spotifyは、このツールを開発チームのために使用した後、オープンソースで公開することを決定し、今日では市場の巨大企業で使用されています。Spotify以外にも、Netflix、Splunk、American Airlines、HBO、Roku、Unity、Epic Games、Palo Alto Networks、Yotpoなどの企業で使用されています。さらに、Backstage のライブラリは、毎月 1600 万ダウンロードされています。

イスラエルのスタートアップ企業であるOxeyeは、このツールの弱点を特定し、悪意のある行為者がBackstageを使用しているすべての企業の開発システムにアクセスすることができるようになったことを明らかにしました。これは、Remote Code Execution via Sandbox Escapeの脆弱性で、攻撃者はBackstageをホストしているサーバー上でコードを実行することができます。Gigtimeとの会話の中で、同社の共同設立者兼CTOであるRon Vider氏は、調査は潜在的な攻撃対象、特にアプリケーションのサードパーティ・ライブラリのマッピングから始まったと述べ、「我々が選んだライブラリの1つはVM2というJavaScriptライブラリです。このライブラリに特に注目した理由は、ユーザから直接入力を受けていると認識したからです」と述べています。

Oxeye社の研究者は、JavaScriptのエラー処理機構を利用することで、強制力や制御力なしにコードを実行できることを発見しました。この弱点を利用して、研究者は、セキュリティ機構をバイパスしてBackstageサーバーを攻撃できる独自の入力を作成することができたのです。

Viderはさらに、「調査から発見された潜在的な被害を強めるために、悪意のある攻撃者が予備情報（例えば、ユーザー名とパスワードなど）を必要とせずに弱点を悪用できる認証メカニズムの実装が不十分なケースがあることがわかりました。したがって、これら2つの脆弱性の組み合わせの結果は、インターネットに公開されているあらゆるBackstage利用が攻撃・攻略される可能性があるということなのです。」Oxeyeでは、もちろん、Spotifyの前で、この脆弱性を閉じる処理を実施しました。Vider氏によると、今のところ同社はこの弱点が悪用されたことを確認していないとのことです。