「Kubernetes」のCLIツールに脆弱性--攻撃者がホストマシンでコードを実行可能

Catalin Cimpanu (ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2019年06月27日 14時27分

  • このエントリーをはてなブックマークに追加
  • 印刷

 「Kubernetes」プロジェクトは米国時間6月26日、危険なセキュリティ脆弱性を修正した。巧妙なハッキングによって、攻撃者がホストマシン上でコードを実行できてしまう脆弱性だ。

 脆弱性はKubernetesシステム自体ではなく、Kubernetesを操作するための公式コマンドラインユーティリティ「kubectl」に影響する。

 セキュリティ研究者らは、コンテナからユーザーのホストマシンへファイルを転送するために利用される「kubectl cp」(コピー)操作にセキュリティ脆弱性があることを発見した。

ハッカーは「コピー」操作を通じてコードを実行可能

 Kubernetes製品セキュリティ委員会のメンバーであるJoel Smith氏は、次のように述べている。「コンテナからファイルをコピーするために、Kubernetesはコンテナ内でtarコマンドを実行してtarアーカイブを作成し、ネットワークを通じてそれをコピーして、kubectlがユーザーのマシン上で解凍する」

 「コンテナ内にあるtarバイナリーが悪意のあるものならば、どのようなコードでも実行でき、予想外の悪意ある結果を出せる。攻撃者はこれを利用して、kubectl cpが呼び出されたとき、ユーザーのマシン上のどんなパスにでもファイルを書き込める。これを制限できるのは、ローカルユーザーのシステムパーミッションだけだ」(Smith氏)

 この脆弱性を悪用するのは簡単ではない。攻撃者はKubernetesのコンテナ内にまず悪意あるファイルを置いてから、Kubernetesの管理者がそれらのファイルをシステムに転送するのを待つ必要がある。

 悪意あるファイルは自動的に実行されるが、この攻撃には運と多少のソーシャルエンジニアリングも必要だ。

ホストマシンのハッキングが完全なセキュリティ侵害につながる恐れ

 それでも、StackRoxの共同創設者で同社の製品担当バイスプレジデントを務めるWei Lien Dang氏は、この脆弱性を非常に危険なものと見なしている。

 同氏は先週、米ZDNetに宛てたメールで次のように述べている。「この脆弱性が気がかりなのは、攻撃者が重要なファイルのパスを書き換えたり、悪意あるプログラムファイルを追加したりでき、それによって、Kubernetes環境の重要な部分を危険にさらすのに利用される恐れがあるからだ」

 「このようなエクスプロイトは、製品環境を危険にさらすために、クライアントサイドの脆弱性がどのように利用され得るかを示している。何と言っても、こういうタイプの脅威を軽減するベストプラクティスに従ってくれるユーザーばかりではないのだから」(Wei氏)

 「たとえば、ユーザーは、プロダクションノードでkubectlを実行しているかもしれないし、クラスター全体へのアクセスを制限する適切なロールベースのアクセス制御なしで、あるいは、ローカルシステムを権限昇格させた状態で実行しているかもしれない」(Wei氏)

 「また、kubectlを最新のバージョンにアップグレードするための修正にしても、それを適用するかどうかは個々のユーザー次第であるため、徹底させるのはさらに困難だろう」(Wei氏)

この脆弱性の修正はこれで2度目

 この脆弱性「CVE-2019-11246」は、Atredis PartnersのCharles Holmes氏によって、Cloud Native Computing Foundation(CNCF)が後援するセキュリティ監査の過程で発見された。

 Wei氏は、3月に行われたこの脆弱性に対する最初の修正に言及し、「この脆弱性は、以前に公表された脆弱性(「CVE-2019-1002101」)に対する不完全な修正が原因だ」と述べた。

 「この脆弱性の詳細はCVE-2019-1002101によく似ている。それに対する最初の修正が不完全だったため、新たな悪用方法が見つかった」(Smith氏)

 独自の環境でKubernetesを利用している企業や開発者は、kubectlとKubernetesをバージョン1.12.9やバージョン1.13.6、バージョン1.14.2以降にアップグレードすることが推奨されている。

 「kubectl version --client」というコマンドを実行して、表示されたクライアントのバージョンが「version 1.12.9」「version 1.13.6」あるいは「version 1.14.2」以降でなければ、脆弱性のあるバージョンを利用しているということだ。(Smith氏)

「Google Cloud」の「Kubernetes Engine」にも影響

 6月26日に公開されたセキュリティ勧告で、Google Cloudの管理者は、「『Google Kubernetes Engine』(GKE)のgcloudツールも、すべてのバージョンでこの脆弱性の影響を受けます。利用できるようになった時点で、修正が施された最新のバージョンにアップグレードすることを推奨します」と述べている。

 現在、このパッチはまだリリースされていない。

 「次回のパッチで、この脆弱性は軽減されます」(Google)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
“真FinTech” 地域金融の行方
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
スペシャル
デジタル時代を支える顧客接点改革
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
エンタープライズトレンドの読み方
10の事情
座談会@ZDNet
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]