DevOpsは、ソフトウェア開発(Development)と運用(Operations)を連携させ、より迅速で安定したサービス提供を目指す手法・文化です。
開発と運用を切り離さず、連携を強化することで、市場投入までの時間を短縮し、システムの品質と信頼性を向上させることを目的としています。
アジャイル開発などの手法がこれまでも出てきていましたが、それをさらに広い範囲に広げて新しい思想にしようという方向のものです。
DevOpsを実現・促進する際に利用されるさまざまなツールが登場しています。
そういったツールを舞台とした新たな脅威キャンペーンが確認されています。
この攻撃キャンペーンは、JINX-0132と命名された脅威アクターによって展開されています。
いくつものツールを悪用して攻撃キャンペーンが展開されています。
いくつかのツールの悪用の様子を見てみましょう。
- Nomad
Nomadの安全ではない初期設定を悪用したことが確認された最初の攻撃キャンペーンとなりました。
HashiCorp Nomadは、複数のプラットフォームにわたってコンテナおよび非コンテナ化アプリケーションを展開および管理するためのシンプルなスケジューラおよびオーケストレータです。
このNomadの初期設定は、NomadサーバAPIにアクセスできるすべてのユーザーがこれらのジョブを作成・実行できます。
このデフォルト設定は、サーバAPIへの無制限のアクセスが、サーバー自体および接続されたすべてのノードにおけるリモートコード実行(RCE)機能と同等であることを意味します。
もちろん設定を適切に実施すれば安全な状態で運用することができるのですが、すべての設置環境で設定が適切な状態で運用されている状態とはなっていません。
このNomadの設定の不備に脅威アクターが気がついてしまったということです。 - Consul
HashiCorp Consulは、HashiCorpが開発したサービスネットワーキングソリューションです。
これにより、チームはサービス間、オンプレミス、マルチクラウド環境、ランタイム間の安全なネットワーク接続を管理できます。
Nomadと同様に、Consulサーバは、中央サーバに登録された複数のノードに展開されたサービスをユーザが登録および照会できるコントロールプレーンを提供します。
この仕組みの提供する機能の一つであるHealthCheck機構を経由して攻撃者の用意したbashコマンドを実行させるような方法が実行されました。 - Docker
攻撃者は誤って構成されたDocker APIインスタンスを標的とし、ホストファイルシステムをマウントするコンテナを開始したり、暗号通貨マイニングイメージを起動したりすることで、悪意のあるコードを実行できるようにします。 - Gitea
Giteaは、Gitを使用したソフトウェア開発バージョン管理や、バグトラッキング、Wiki 、コードレビューなどの他のコラボレーション機能をホストするオープンソースのフォージソフトウェアパッケージです。
CVE-2020-14144などの脆弱性を使用して脅威アクターはGiteaへのアクセスを手に入れます。
そしてGiteaの持つ様々な機能を悪用し、リモートコード実行を実現します。
これらの例では、その経路は異なりますが、最終的にリモートコード実行が可能な環境を作り出すことができています。
脅威アクターはこの環境を使って何を実施するのでしょうか。
今回の場合、それはマイニングでした。
コード実行できるようになった侵害環境でGithubからXMRigマイナーを取得し、それを実行します。
自分でなんら環境を用意することなく、他の人のお金で用意した大量のコンピュータリソースを使って、暗号資産を作り出します。
通常機器の準備や電気代などの総合的な費用を考慮すると、暗号資産のマイニングは割が合わないとされることの多い活動です。
しかしマイニングのマイナス面をすべて転嫁できる場合、実行すれば実行しただけ儲かってしまいます。
対策はいつも通りです。
ソフトウェアは更新された状態を維持しましょう。
アクセス制御は必要最小限な状態に保ちましょう。
不要な設定や、新しい機能に関する標準設定が未検討なまま放置された状態とならないようにしましょう。
標準設定が安全な状態ならよいのですが、必ずしもそうであるとは期待できません。
日々の正しい運用で、安全を維持していきましょう。
DevOps Tools Targeted for Cryptojacking
https://www.wiz.io/blog/jinx-0132-cryptojacking-campaign
| この記事をシェア |
|
|---|
