2020年の夏に、Windowsサーバーコンテナーからそのコンテナーが実行されているノードに出ることができるという脆弱性が報告されました。
そして2021年の3月に、このWindowsサーバーコンテナーからそのコンテナーが実行されているノードに出ることができるという脆弱性を悪用したマルウェアが発見されました。
名前はSiloscapeです。
コンテナー(サイロです)をエスケープする、ということでSiloscapeだそうです。
うまいこと考えました。
動作のイメージは次の通りです。
- Windowsサーバーコンテナーの1つに侵入します。
Webサーバなどが狙いやすいようです。 - Windowsサーバーコンテナーからそのコンテナーが実行されているノードに出ることができるという脆弱性を使って、ノードで任意のコードを実行します。
- ノードの資格情報などを収集します。
- ノードで得られた情報をもとに、Kubernetesクラスターの他のノードに拡散します。
- C2との通信は、Torネットワーク経由でIRCプロトコルで行います。
暗号化されていますので、判別するのは絶望的ですね。
こうして多くのノードが攻撃者の操作可能なものとなります。
あとは攻撃者の自由です。
マイニングするノードをたててマイニングするかもしれません。
Botとして使うこともできるかもしれません。
ちなみにこの脆弱性ですが、発見当初はMicrosoftは脆弱性としてみなしていなかったようです。
「Windows Serverコンテナーはセキュリティ境界ではないため、コンテナー内で実行されている各アプリケーションは、ホスト上で直接実行されているかのように扱う必要がある」という見解だったようです。
GoogleとMicrosoftの協議により、その数週間後にはこの動作は脆弱性だとされることとなりました。
仕様が脆弱性に変わった瞬間です。
仕様です。
という言い回しは時々出会うことがあります。
仕様としたから良い、ということにはできない問題があることを認識しておく必要があるのかもしれません。
参考記事(外部リンク):Siloscape: First Known Malware Targeting Windows Containers
to Compromise Cloud Environments
unit42.paloaltonetworks.com/siloscape/
| この記事をシェア |
|
|---|
