fbpx

コンテナを超えた世界へのエスケープ:コンテナ攻撃による影響範囲を分析 #aqua #コンテナ #セキュリティ

AquaSecurity

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年10月27日に公開された「 The Great Escape: A Blast Radius Analysis of Container Attacks 」の日本語翻訳です。

コンテナを超えた世界へのエスケープ:コンテナ攻撃による影響範囲を分析

2021年もますますコンテナ環境を狙った攻撃が増えています。コンテナ環境から基盤となるホストへのエスケープを目的とした攻撃が数多く観測され、攻撃の影響度が高まっています。しかし、攻撃者がコンテナからのエスケープに成功した場合、どの程度の被害が発生するのでしょうか。この疑問を解決するために、実際のコンテナ攻撃を分析し、その影響範囲を調べました。

実際に悪意のあるコンテナイメージの被害に遭ったホスト105台を特定し、攻撃の影響範囲、つまり潜在的な影響の総量を分析しました。分析の結果、被害を受けたホストの36%が、深刻な被害をもたらす可能性のある複数の深刻な脆弱性や設定ミスを抱えていることがわかりました。また、70%のホストでは、認証情報の窃取や横移動の可能性が、軽度であることが分かりました。

数週間後、これら105台の被害ホストを再度分析したところ、50%がすべての脆弱性や設定ミスを完全に修正しており、12%がすべてではなく一部を修正、25%が何も変更していなかったことがわかりました。このように、ほとんどのセキュリティ担当者は、脆弱性や設定ミスを発見できても、それをタイムリーに発見できないか、あるいは問題を迅速に修正できないという結論に達しました。

コンテナエスケープして、その先の世界へ

Blast Radius Analysis of Container Attacks」レポートでは、攻撃者が環境へアクセスした後に潜在的な脆弱性を持つリソースの概要を示しています。

  • リモートサービス
    脅威の主体は、SSH(Secure Shell)キーを取得して機密サービスにアクセスし、さらに別のホストへ移動しようとします。

  • クラウドのメタデータ
    クラウドのメタデータを収集して、他のアカウントや環境にアクセスするための鍵やシークレットデータを取得しようとする攻撃があります。

  • HTTP
    サービスが暗号化されていない HTTP を使用している場合、攻撃者は通信を傍受して分析し、認証情報やホストシステム内での到達範囲を広げるための情報を探すことができます。

  • データベース
    データベースサービスは、ブルートフォース攻撃などの直接的な攻撃を受ける可能性があります。データベースの中には、デフォルトで認証情報を持たずにインストールされるものがあり、攻撃者がホスト上でデータベースを実行することでデータにアクセスできる可能性があります。

事例:影響範囲はどのくらいになるのか

ある被害者の事例で判明したように、ホスト上には攻撃者が悪用できる可能性のあるリソースがさらに存在します。

保護されていないウェブサイト

ウェブサイトが HTTPS ではなく HTTP を使用して通信を適切に暗号化しない場合、他の保護機能が損なわれます。攻撃者がホストにアクセスすると、すべての通信を記録し、パスワードや個人を特定できる情報(PII)などの機密データを傍受できます。

インストール済みのデータベース

データベースはしばしば攻撃者に狙われます。このホストは、MySQL と Redis の両方のデータベースを実行していました。攻撃者がホストにアクセスできれば、パスワードやシークレットデータを検索したり、ブルートフォース攻撃でこれらのデータベースにアクセスできます。データベースの中には、デフォルトでは認証を必要としないものもあるため、攻撃者は簡単にデータを収集できます。

ビッグデータ技術の導入

Apache ZooKeeper は、ビッグデータ技術に関連した分散型サービスを維持するためのオープンソースの集中管理サービスです。このホストはバージョン 3.4.9 を使用しており、このバージョンには重大な脆弱性があります。この例では、200ノード以上の巨大なクラスターが確認されており、重要なデータを含む可能性が高いとわかります。この脆弱性を利用することで、攻撃者は Apache ZooKeeper サービス内のあらゆる貴重なデータにアクセスできます。

攻撃を抑え込む

分析を通じて、コンテナ攻撃の影響を軽減するためのいくつかの教訓を得られましたが、その中にはかなり一般的なセキュリティ慣行に対する意外な推奨事項も含まれていました。学んだ主な教訓と、お客様の環境を保護するために推奨される行動を確認するには、「Blast Radius Analysis of Container Attacks」レポートをご参照ください。

Blasting past your security: A Blast Radius Analysis of Container Attacks

New call-to-action

新規CTA