Kubernetes環境におけるXZバックドア攻撃CVE-2024-3094に対するNeuVectorの防御方法

Share
Share

セキュリティ研究者の Andres Freund 氏が、xz/liblzma ライブラリがバックドアされていることを Debian に報告しました。その結果、CVE-2024-3094 が 重大な CVSS スコア 10 として公表されました。この脆弱性は XZ Utils のバージョン 5.6.0 および 5.6.1 におけるサプライチェーンの侵害に起因しています。XZ Utils は、主要な Linux ディストリビューションに含まれるデータ圧縮ソフトウェアです。推奨される対処法は、問題のない XZ Utils バージョン(5.6.0 より前のバージョン)にダウングレードすることです。

CVE-2024-3094の検出

SUSEが提供する100%オープンソースのフルライフサイクル・コンテナ・セキュリティ・ソリューションであるNeuVectorは、2024年03月31日に作成されたCVEデータベースバージョン3.395以降から脆弱性スキャナでCVE-2024-3094をスキャンし、検出することができます。イメージのスキャン、コンテナの実行、およびコンテナが実行されるホストのスキャンは、この脆弱性攻撃に対して保護するために取られるいくつかの実行可能な手順です。検出された脆弱性は、直ちに修正する必要があります。一部のパイプラインによっては、修正したイメージを再デプロイするのに時間がかかる場合があります。

脆弱性の検出と防止

NeuVectorは、ゼロデイ攻撃や、Kubernetesやその他のコンテナ環境、およびそれらが実行されるホスト*における未知の脆弱性やパッチ未適用の脆弱性の悪用を検出し、防止するために設計されたゼロトラストのランタイムセキュリティを提供します。NeuVectorのランタイムプロテクションには以下が含まれます:

  • 一般的なゼロトラストのネットワーク制御は、無許可のインバウンドまたはアウトバウンドのssh接続を許可しません。脆弱性攻撃が発生した場合、これらのネットワーク制御は、機密データのプロービングなど、攻撃の範囲を拡大するフォローオン(すなわち「キルチェーン」)活動の検出にも役立ちます。
  • ゼロ・トラスト・エグレス対策は、コマンド&コントロール攻撃を防ぐ最も効果的な方法です。外部アクセスのあるコンテナやこのCVEが検出されたコンテナに対しては、NeuVectorのプロテクトモード(ブロッキング)を有効にして、積極的な出口制御を行うようにします。デフォルトでは、リストされた正当な外部接続を許可することで、不正なSSH接続を防ぐことができます。しかし、外部からのSSH接続を明示的にブロックする追加保護レイヤを実装することもできます。
  • インバウンド接続のsshdやアウトバウンド接続のsshなど、実行されているコンテナでは通常予期されないプロセスアクティビティに対する不審なプロセスの検出が組み込まれています。これらの不審なアクティビティが検出された場合のアラートが適切に設定されていることを確認し、これらのプロセスをブロックするために、影響を受けるコンテナに対しプロテクトモードを検討してください。
  • NeuVectorでの追加の保護策:
    • CVE-2024-3094を含むイメージのデプロイをブロックするためのアドミッション・コントロール・ルールを追加する:
    • 潜在的に影響を受けるコンテナに対しプロテクトモードを使用することにより、以下が確認されます :
      • 許可リストにegress/外部接続が含まれていないこと
      • 外部接続は、特定の DNS ホスト名と IP アドレス、および必要なアプリケーションプロトコルのみに明示的に許可する。
    • イメージソースを審査・承認し、デプロイ前にアドミッションコントロールによる署名の検証を要求することで、サプライチェーンセキュリティを強化する。

 

*NeuVectorは、ホストとノードの脆弱性をスキャンし、疑わしいプロセスを検出します。ネットワークファイアウォールによる保護は、コンテナワークロードにのみ適用されます。

NeuVector コンテナ・セキュリティ・プラットフォーム・ソフトウェアおよびそのコンテナ自体は、この攻撃に対して脆弱ではありません。SUSEがエンタープライズ向けにサポートするコンテナセキュリティ、NeuVector Primeをご利用のお客様で、本脆弱性に対してご質問がございましたら、SUSEサポートまでお問い合わせください。

 

詳細情報が必要ですか?

SUSEは、最近のブログ投稿openSUSEのアナウンスでこの脆弱性に対処し、SUSE Linux EnterpriseとLeapもこのバックドアの影響を受けないことを明らかにしています。

Share
(Visited 9 times, 1 visits today)
Avatar photo
2,402 views
Glen Kosaka Glen is head of product security at SUSE. Glen has more than 20 years of experience in enterprise security, marketing SaaS and infrastructure software. He has held executive management positions at NeuVector, Trend Micro, Provilla, Reactivity, Resonate, Quantum and Rignite.