メインコンテンツにスキップ
ブログセキュリティLinodeセキュリティダイジェスト 2021年10月31日~11月7日

Linodeセキュリティダイジェスト 2021年10月31日~2021年11月7日

Linode セキュリティダイジェスト

今週は、コードが悪意を持ってエンコードされることで、コンパイラと人間の目には違って見えるようになってしまうUnicodeの脆弱性について確認します。また、コンテナのセキュリティや、注意が必要と思われる脆弱なWordPressプラグインについてもご紹介します。

トロイの木馬のソース (CVE-2021-42574)

ケンブリッジ大学の研究者2名が発表した論文によると、Unicodeの方向性を示す文字をコードに使用すると、人間がコードを安全だと誤認する一方で、悪意のあるアクターがコードベースに論理的な変更を加えることができるということです。研究者たちは、GitHubリポジトリを作成し、この文字がさまざまなプログラミング言語でどのように利用できるかを示しています。

#!/usr/bin/env python3

def sayHello():
    print("Hello, World!")

def sayHello():
    print("Goodbye, World!")

sayHello()

どの関数が実行されるかを知ることができますか?コンパイラなら可能です。

この問題は、複数のセキュリティ上の影響を及ぼす可能性があります。安全と思われる公開リポジトリに悪意のあるコードが混入し、サプライチェーン攻撃を受ける可能性があります。また、パブリックフォーラムからコピーされたコードにも、このような悪意のあるロジックの変更が含まれる可能性があります。論文の中では、ほとんどのコンパイラがこの問題に対して脆弱であることが述べられています。また、一部のコミュニティがこの問題を認めているものの(RustGitHubを参照)、ほとんどのコンパイラにはまだ脆弱性があることが知られています。

コンテナセキュリティのベストプラクティス

Docker社によると、コンテナとは、コードとその依存関係をすべてパッケージ化したソフトウェアの標準的な単位である。アプリケーションは、あるコンピューティング環境から別のコンピューティング環境へ、迅速かつ確実に実行されます。これにより、異なるホスト・オペレーティング・システム上で変更を加えることなく、アプリケーション・イメージを展開することができます。これらのコンテナイメージは、基盤となるオペレーティングシステムから分離されていますが、sysdig社のComprehensive Container Securityガイドによると、コンテナ内の脆弱性が悪用されると、クラウド全体が危険にさらされる可能性があります。インフラ 。2020年のCloud Native Computing Foundation(CNCF)の調査によると、本番環境でのコンテナの使用率は92%に増加しており、これらのインスタンスのセキュリティを確保することがこれまで以上に重要になっています。

当社では、安全なDockerイメージを構築するために推奨されるツールや手順をさらに詳しく説明した独自のコンテナセキュリティガイドを提供しています。コンテナをより安全にするために、これらのベストプラクティスに従うことをお勧めします。

  • イメージを定期的に更新することで、コンテナ内の脆弱性の数を減らすことができます。 
  • この目的のために作られた無料のオープンソースツールであるTrivyなどの脆弱性スキャンツールを使って、頻繁に脆弱性をスキャンします。
  • コンテナを実行するための限定されたユーザーを作成し、可能な限りルートユーザーとしてコンテナを実行しないようにします。コンテナを使用する際には、最小特権主義を行使することが重要です。
  • コンテナが使用するCPUとRAMを制限します。ハードウェアの使用量を制限することで、攻撃者が特定のコンテナで暗号マイニングを実行する能力を大幅に軽減できます。また、コンテナに割り当てられる不要なリソースの量を減らすことで、パフォーマンスの向上にもつながります。

最後に、Open Web Application Security Project(OWASP)が提供しているDocker Security Cheat Sheetをご覧になれば、このテーマに関する概要がわかります。

OptinMonster WordPress プラグイン (CVE-2021-39341)

このプラグインのWordPressページによると、OptinMonsterは、読者の購読を可能にするポップアップを構築するためのプラグインです。この記事を書いている時点で、100万以上のアクティブなインストールがあります。

このプラグインは API エンドポイントを使用します。WordFenceの記事によると、これらのエンドポイントのほとんどに脆弱性があった。 API エンドポイントには脆弱性があり、認証されていない攻撃者が機密情報をエクスポートしたり、プラグインを使用している WordPress サイトに悪意のある JavaScript コードを注入したりすることができます。このプラグインの2.6.4より前のバージョンはこれらの攻撃を受ける可能性があり、このプラグインを最新バージョンにアップデートすることを強く推奨する。OptinMonsterチームは漏洩した API キーをリセットしました。 API プラグインを使用し続けるには、キーを再生成する必要があるかもしれません。

このダイジェスト版は、読者の皆様に有益な情報をお届けすることを目的としています。今後もセキュリティに関する最新情報をお届けしてまいります。

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。