クラウドセキュリティの攻撃と防御 (6) ミラーポイズニング
コンテナ テクノロジの人気に伴い、コンテナ イメージもソフトウェア サプライ チェーンの非常に重要な部分になりました。pip などのツールを使用してさまざまなプログラミング ソフトウェア ライブラリをウェアハウスから取得するのと同じように、Docker Hub やサードパーティのウェアハウスからイメージを取得し、それらに基づいて必要な機能を実現するように開発し、最終的にパッケージ化してリリースすることができます。
ただし、開発者によって偶然引き起こされたセキュリティ ホールであるか、攻撃者によって意図的に埋め込まれた悪意のあるコードであるかにかかわらず、ビジネスが依存する基本的なイメージに問題がある可能性があります。この「内生リスク」の潜在的な害ははるかに深刻です。ハッカーが外部から攻撃を開始するよりも検出されにくいです。
コンテナ ソフトウェア サプライ チェーン攻撃を紹介しましょう: イメージ ポイズニング
鏡中毒
ミラー ポイズニングは広範なトピックであり、攻撃者が騙すことを指します。被害者が、攻撃者が指定した悪意のあるイメージを使用してコンテナを作成および実行するように誘導し、侵入を達成したり、被害者のホストを悪意のある活動に使用したりすることを指します。
さまざまな目的に応じて、イメージ ポイズニングには 3 つの一般的なタイプがあります。悪意のあるマイニング イメージ、悪意のあるバックドア イメージ、悪意のあるエクスプロイト イメージです。
悪意のあるマイニングイメージを起動する
この種のポイズニング行為は、主に被害者をだましてマシン上にコンテナを展開させて経済的利益を得ることが目的であり、実際、一部の研究者はDocker Hubをベースとした悪意のあるマイニングイメージ配布行為を発見しています。2018 年 6 月、調査レポートでは、docker123321 という名前のアカウントがマイニング コードを含む 17 枚の悪意のあるイメージを Docker Hub にアップロードしたと指摘しました。これらのイメージが Docker Hub から正式に削除された時点で、これらのイメージは 500 万回以上ダウンロードされました。これは、人々が非公式のウェアハウスや出所不明のコンテナ イメージに対して十分に警戒していないことも示しており、統計によると、ハッカーはこの行為を通じて約 9 万ドル相当の Monero を入手しました。
悪意のあるバックドア イメージを起動する
この中毒動作は、主にコンテナの制御を達成するために行われます。通常、被害者がマシンにコンテナを展開した後、攻撃者はコンテナによって跳ね返された砲弾を受け取りますが、これとは対照的に、隔離が有効であれば、たとえ攻撃者が砲弾を内部に持ち込んだとしても、この種の中毒は少なくなる可能性があります。コンテナの場合、攻撃対象領域は依然として限られています。もちろん、攻撃者はこのシェルを使用して、コンテナ内にマイニング プログラムをデプロイして利益を得る可能性もあります。
悪意のあるエクスプロイトイメージをドロップする
このポイズニング動作は、ホスト マシン上のさまざまな脆弱性を悪用して、コンテナのデプロイ後にコンテナのエスケープやその他の目的を達成し、被害者のマシンに対するより強力な制御を実現しようとします。コンテナとクラウドネイティブテクノロジーの普及に伴い、関連するセキュリティ脆弱性がますます多く露出するため、この種のイメージポイズニングは間違いなくより一般的になるでしょう。攻撃と防御の観点から見ると、悪意のあるエクスプロイトのミラーリングは攻撃負荷の配信方法であり、隠蔽性と潜在的な影響範囲が非常に広いことが特徴です。想像してみてください。Docker Hub 上の人気のあるイメージに特定の Nday または 0day エクスプロイト プログラムが含まれている場合、理論上、攻撃者は一度に数百万台のコンピューターを制御できる可能性があります (まったく法外です)。
要約する
現実世界でも仮想世界でも、ソフトウェア サプライ チェーンに潜む問題や隠れた危険は、多くの場合非常に有害です。上流の水が汚染されて、下流の人たちの飲み水が使えなくなるようなものです。IT業界でも、ソフトウェアのサプライチェーンにセキュリティ問題があれば、たとえ防御システムが突破できなかったとしても、最終的な効果は大幅に低下します。