先週のクラウド・セキュリティ:Dockerホストを狙う、クリプトジャック ワームGraboidが登場

クラウド関連のセキュリテイ・トピックをダイジェストでお伝え(提供:アフロ)

 10月13日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。

■S3の設定ミスにより20万件を超える応募者の履歴書が公開される

 米国の求人掲示板Authentic Jobsとイギリスの求人アプリSonicJobs App。Authentic Jobsは221,130件の応募者の履歴書を公開していた。Sonic Jobsは、マリオットおよびインターコンチネンタルのホテルチェーンが使用するイギリスの小売およびレストランの求人アプリで、29,202件の応募者の履歴書を公開していた。

 両社は、Amazon Web Services(AWS)バケットの設定をパブリックに設定し、保存された履歴書をS3バケットの場所を知っている人なら誰でもアクセスできるようになっていた。

■Dockerホストを狙う、クリプトジャック ワームGraboid

 パロアルトネットワークスのUnit 42のリサーチャーは新種のクリプトジャック ワーム(他者のコンピューティングリソースを無断で使って仮想通貨の採掘を行うワーム)を特定し、Graboidと命名した。Graboidは既に2,000を超えるDockerホストに拡散しているという。

 攻撃者は、セキュリティで保護されていないDockerデーモンを通じて最初の足がかりを確保する。この乗っ取られたDockerデーモンにDockerイメージがインストールされ、侵害ホスト上で実行される。次に、C&Cサーバーからダウンロードされたマルウェアは、仮想通貨Moneroをマイニングするために展開される。

 パロアルト社によれば、Docker Engineのコンテナを使用し、仮想通貨をマイニングするクリプトジャック ワームが拡散することを確認したのは、今回が初めてとのこと。従来型のエンドポイント製品は、ほとんどがコンテナ内のデータやアクティビティを検査しないので、この種の悪意のある活動を検出することは困難だという。

■コンテナ技術Kubernetesに脆弱性

 コンテナ技術Kubernetesに脆弱性、CVE-2019-16276、CVE-2019-11253が報告された。CVE-2019-16276はGo言語の標準HTTPライブラリであるnet / httpのバグを利用した脆弱性。本脆弱性を悪用すると、攻撃者が認証制御をバイパスしてコンテナにアクセスする可能性がある。

 

 CVE-2019-11253は、Kubernetes APIサーバーが、YAML爆弾攻撃と呼ばれるYAMLパーサーに対する特定の種類の攻撃に対して脆弱で有り、DoS攻撃等に悪用される。

 Kubernetesのリリース1.14.8、1.15.5と1.16.2にて、これらの問題への修正が含まれている。