そのWindowsサーバーコンテナーのはいっているクラスター、丸ごといただきます

2020年の夏に、Windowsサーバーコンテナーからそのコンテナーが実行されているノードに出ることができるという脆弱性が報告されました。
そして2021年の3月に、このWindowsサーバーコンテナーからそのコンテナーが実行されているノードに出ることができるという脆弱性を悪用したマルウェアが発見されました。
名前はSiloscapeです。
コンテナー(サイロです)をエスケープする、ということでSiloscapeだそうです。
うまいこと考えました。
動作のイメージは次の通りです。

  • Windowsサーバーコンテナーの1つに侵入します。
    Webサーバなどが狙いやすいようです。
  • Windowsサーバーコンテナーからそのコンテナーが実行されているノードに出ることができるという脆弱性を使って、ノードで任意のコードを実行します。
  • ノードの資格情報などを収集します。
  • ノードで得られた情報をもとに、Kubernetesクラスターの他のノードに拡散します。
  • C2との通信は、Torネットワーク経由でIRCプロトコルで行います。
    暗号化されていますので、判別するのは絶望的ですね。

こうして多くのノードが攻撃者の操作可能なものとなります。
あとは攻撃者の自由です。
マイニングするノードをたててマイニングするかもしれません。
Botとして使うこともできるかもしれません。

ちなみにこの脆弱性ですが、発見当初はMicrosoftは脆弱性としてみなしていなかったようです。
「Windows Serverコンテナーはセキュリティ境界ではないため、コンテナー内で実行されている各アプリケーションは、ホスト上で直接実行されているかのように扱う必要がある」という見解だったようです。
GoogleとMicrosoftの協議により、その数週間後にはこの動作は脆弱性だとされることとなりました。
仕様が脆弱性に変わった瞬間です。

仕様です。
という言い回しは時々出会うことがあります。
仕様としたから良い、ということにはできない問題があることを認識しておく必要があるのかもしれません。

参考記事(外部リンク):Siloscape: First Known Malware Targeting Windows Containers
to Compromise Cloud Environments

unit42.paloaltonetworks.com/siloscape/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。