今週のダイジェストでは、以下の内容をご紹介します。
- Rancher は、クラスタの乗っ取りを可能にする平文の認証情報を保存します。
- ModSecurity WAFのバイパスを行います。
- BINDの6つの脆弱性
- アカマイは今年に入ってから、毎月 1300 万以上のドメインを悪質であると判断しています。
Rancher クラスタの乗っ取りを可能にする平文認証情報の保存
Rancher はオープンソースのKubernetesプラットフォームで、ユーザーはプロバイダー間でコンテナ・クラスタをデプロイして実行することができる。最近のバグレポートによると、パスワードやキー、アカウント・トークンのような機密性の高いフィールドが API キーやアカウント・トークンのような機密フィールドがKubernetesオブジェクトに平文で直接保存され、指定されたオブジェクトにアクセスできる誰もが利用可能になっていたことが、最近のバグ報告で明らかになった。これは、Rancher-所有のKubernetesオブジェクト内部のセキュリティ制御に深刻な影響を与える。LinuxシステムエンジニアのMarco Stuurman氏は次のように説明する:
"攻撃者は、Rancher が管理するクラスタに対して、最小限の権限しか必要としませんでした。例えば、監視ロボットユーザーの特権は、Rancher からの HTTP リクエストをターゲットクラスタで実行されている監視インスタンスにプロキシすることのみでした。"
これらの問題を改善するために、現在ベンダーが実施している推奨事項を紹介します。
- Rancher サービスアカウントトークンをローテートする。Ranchers のメンテナがスクリプトを提供している。
- 下流のRancher インスタンスへのアクセスを制限する。
- 下流のクラスターをチェックし、侵入の可能性のある兆候を確認する。
- 流出した可能性のある認証情報を変更する。
ModSecurity WAF バイパス
最近行われたOWASP ModSecurity Core Rule Set(CRS)のWeb Application Firewall(WAF)に対する評価で、例外的、重要、高度の脆弱性を含む13件の新しい知見が発見されました。
そのうちの2つは、ModSecurityが推奨するルールセットルールのために、WAFとバックエンドサーバーがリクエスト内容を異なる形で解釈する、コンテンツタイプの混乱に基づく発見でした。
これらの脆弱性のうち1つは、WAFがXMLコメントを無視することを利用し、XMLコメントとして解析されることでWAFが無視する有効な「x-www-form-urlencoded」データを注入することができるものである。
もう一つの発見は、「multipart/form-data」コンテンツタイプに基づくもので、「Content-Dispositions」ヘッダーを使用することでバイパスが可能となり、攻撃者が分割した悪意のある文字列を注入できるようになるものでした。
CVE-2022-39955は、この評価で出てきた脆弱性の1つの例です。utf-7 "を追加の文字セットとして使用し、ボディをエンコードすることで、曖昧なバイパスを可能にします。
これらの脆弱性は、ModSecurityとCRSによって行われた最新のパッチで修正されています。
BINDにおける6つの脆弱性
インターネットシステムコンソーシアム(ISC)は、リゾルバの性能低下、バッファオーバーリード、メモリリーク、予期せぬ終了に関連するBINDでリリースしています。
CVE-2022-2795は、この欠陥を悪用したクエリーで対象のリゾルバをあふれさせる脆弱性で、勧告によりリゾルバの性能を著しく低下させ、同様に DOS 攻撃につながる可能性があります。
CVE-2022-2881は、指定されたバッファを越えて読み込むことができる根本的なバグです。これにより、読み込まれるべきでないメモリが読み込まれてしまったり、プロセスが完全にクラッシュしてしまう可能性があります。
CVE-2022-2906、CVE-2022-38177、CVE-2022-38178は、いずれもメモリリークに関連するものです。これらのメモリリークは、不正な ECDSA または EdDSA 署名やその他の欠陥によって引き起こされ、実行中のプロセスが必要以上のメモリを消費し、システム上の利用可能なメモリが侵食され、リソース不足によりプロセスがクラッシュする可能性があります。
CVE-2022-3080は、攻撃者が特定のクエリーを送信することで、リゾルバプロセスが完全にクラッシュする脆弱性です。
これらの脆弱性は、最新の安定版である BIND 9.18 および 9.16 リリースで修正されています。
1ヶ月で1,300万件の悪質なドメインにフラグを立てました。
アカマイは2022年初頭から7900万以上のドメインにフラグを立て、毎月約1300万件のドメインにフラグを立てています。全体として、この数は解決に成功した新しいドメイン全体の 20% 以上を占めています。
これらの検出は、Newly Observed Domains (NOD) と呼ばれるものに基づいています。アカマイは NOD を 60 日間解決されていないドメインと判断しています。これには、新しく購入されたドメインや、新しく使用されたドメインが含まれることがあります。同様の検出では、ドメインがいつ登録されたかを調べますが、これは限定的なシステムです。一部の悪質業者は、ドメインが登録されると一定期間そのドメインを使用し、そのシステムを回避することができるからです。同様に、NOD を監視している他の組織はアカマイのような規模ではなく、30 分から 72 時間という時間制限で監視しており、アカマイが行っている 60 日間とはかけ離れているのです。
NODはそれ単独では全く役に立ちませんが、他のインテリジェンスと組み合わせることで、ドメインやその利用方法について膨大な洞察を得ることができます。NODの応用例としては、フィッシングや迅速な脅威の検出などがある。しかし、これらのNODは、ヒューリスティック分析のような悪意ある活動の検出目的に限定されるものではない。
全体として、これらの NOD は、悪質な行為の判断と同様に、脅威の追跡において継続的に重要であり、アカマイが前進するための現在の措置であるように思われます。
コメント