「Kubernetes」のCLIツールに脆弱性--攻撃者がホストマシンでコードを実行可能

Catalin Cimpanu (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2019-06-27 14:27

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 「Kubernetes」プロジェクトは米国時間6月26日、危険なセキュリティ脆弱性を修正した。巧妙なハッキングによって、攻撃者がホストマシン上でコードを実行できてしまう脆弱性だ。

 脆弱性はKubernetesシステム自体ではなく、Kubernetesを操作するための公式コマンドラインユーティリティ「kubectl」に影響する。

 セキュリティ研究者らは、コンテナからユーザーのホストマシンへファイルを転送するために利用される「kubectl cp」(コピー)操作にセキュリティ脆弱性があることを発見した。

ハッカーは「コピー」操作を通じてコードを実行可能

 Kubernetes製品セキュリティ委員会のメンバーであるJoel Smith氏は、次のように述べている。「コンテナからファイルをコピーするために、Kubernetesはコンテナ内でtarコマンドを実行してtarアーカイブを作成し、ネットワークを通じてそれをコピーして、kubectlがユーザーのマシン上で解凍する」

 「コンテナ内にあるtarバイナリーが悪意のあるものならば、どのようなコードでも実行でき、予想外の悪意ある結果を出せる。攻撃者はこれを利用して、kubectl cpが呼び出されたとき、ユーザーのマシン上のどんなパスにでもファイルを書き込める。これを制限できるのは、ローカルユーザーのシステムパーミッションだけだ」(Smith氏)

 この脆弱性を悪用するのは簡単ではない。攻撃者はKubernetesのコンテナ内にまず悪意あるファイルを置いてから、Kubernetesの管理者がそれらのファイルをシステムに転送するのを待つ必要がある。

 悪意あるファイルは自動的に実行されるが、この攻撃には運と多少のソーシャルエンジニアリングも必要だ。

ホストマシンのハッキングが完全なセキュリティ侵害につながる恐れ

 それでも、StackRoxの共同創設者で同社の製品担当バイスプレジデントを務めるWei Lien Dang氏は、この脆弱性を非常に危険なものと見なしている。

 同氏は先週、米ZDNetに宛てたメールで次のように述べている。「この脆弱性が気がかりなのは、攻撃者が重要なファイルのパスを書き換えたり、悪意あるプログラムファイルを追加したりでき、それによって、Kubernetes環境の重要な部分を危険にさらすのに利用される恐れがあるからだ」

 「このようなエクスプロイトは、製品環境を危険にさらすために、クライアントサイドの脆弱性がどのように利用され得るかを示している。何と言っても、こういうタイプの脅威を軽減するベストプラクティスに従ってくれるユーザーばかりではないのだから」(Wei氏)

 「たとえば、ユーザーは、プロダクションノードでkubectlを実行しているかもしれないし、クラスター全体へのアクセスを制限する適切なロールベースのアクセス制御なしで、あるいは、ローカルシステムを権限昇格させた状態で実行しているかもしれない」(Wei氏)

 「また、kubectlを最新のバージョンにアップグレードするための修正にしても、それを適用するかどうかは個々のユーザー次第であるため、徹底させるのはさらに困難だろう」(Wei氏)

この脆弱性の修正はこれで2度目

 この脆弱性「CVE-2019-11246」は、Atredis PartnersのCharles Holmes氏によって、Cloud Native Computing Foundation(CNCF)が後援するセキュリティ監査の過程で発見された。

 Wei氏は、3月に行われたこの脆弱性に対する最初の修正に言及し、「この脆弱性は、以前に公表された脆弱性(「CVE-2019-1002101」)に対する不完全な修正が原因だ」と述べた。

 「この脆弱性の詳細はCVE-2019-1002101によく似ている。それに対する最初の修正が不完全だったため、新たな悪用方法が見つかった」(Smith氏)

 独自の環境でKubernetesを利用している企業や開発者は、kubectlとKubernetesをバージョン1.12.9やバージョン1.13.6、バージョン1.14.2以降にアップグレードすることが推奨されている。

 「kubectl version --client」というコマンドを実行して、表示されたクライアントのバージョンが「version 1.12.9」「version 1.13.6」あるいは「version 1.14.2」以降でなければ、脆弱性のあるバージョンを利用しているということだ。(Smith氏)

「Google Cloud」の「Kubernetes Engine」にも影響

 6月26日に公開されたセキュリティ勧告で、Google Cloudの管理者は、「『Google Kubernetes Engine』(GKE)のgcloudツールも、すべてのバージョンでこの脆弱性の影響を受けます。利用できるようになった時点で、修正が施された最新のバージョンにアップグレードすることを推奨します」と述べている。

 現在、このパッチはまだリリースされていない。

 「次回のパッチで、この脆弱性は軽減されます」(Google)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み
関連キーワード
脆弱性(ぜいじゃくせい)

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

カテゴリランキング

  1. パロアルトネットワークス製品に脆弱性、4月14日に緊急パッチ公開を予告

  2. 銀河英雄伝説で考えるセキュリティ--物語と重なる“増え続けるセキュリティの重いコスト”

  3. 「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える

  4. 三菱電機、製品の品質向上で開発者向けセキュリティ基盤の「Snyk」を導入

  5. グーグル、「ゼロデイ攻撃」の分析結果と6つの推奨策を提示

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]