Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見
マイナビニュース2024年4月23日(火)11時19分
Microsoftはこのほど、「Attackers exploiting new critical OpenMetadata vulnerabilities on Kubernetes clusters|Microsoft Security Blog」において、メタデータ管理ソリューション「OpenMetadata」の重大な脆弱性を悪用するクリプトジャッキング(無断で暗号資産をマイニングする)攻撃を発見したと伝えた。この攻撃では、コンテナオーケストレーションシステム「Kubernetes」のワークロードに不正アクセスし、マイニング型マルウェアを展開することが確認されている。
○「OpenMetadata」の脆弱性
Microsoftによって悪用が確認された脆弱性は、2024年3月15日に公開されたOpenMetadataの複数の脆弱性とみられる。これら脆弱性は悪用されるとリモートの攻撃者に認証をバイパスしてコードを実行される可能性がある。
悪用が確認された脆弱性の情報(CVE)は次のとおり。
CVE-2024-28255 - JwtFilterにAPI認証バイパスの脆弱性。攻撃者はリクエストパスを細工して認証をバイパスし、任意のSpring Expression Language(SpEL)式を実行する可能性がある
CVE-2024-28847 - 「/api/v1/events/subscriptions」にリモートコード実行(RCE: Remote Code Execution)の脆弱性
CVE-2024-28253 - 「/api/v1/policies」にリモートコード実行の脆弱性
CVE-2024-28848 - 「/api/v1/policies/validation/condition/<expression>」にリモートコード実行の脆弱性
CVE-2024-28254 - 「/api/v1/events/subscriptions/validation/condition/<expression>」にリモートコード実行の脆弱性
○クリプトジャッキング攻撃の概要
Microsoftによると、脅威アクターは上記の脆弱性を悪用し、インターネットに公開されているOpenMetadataイメージを実行しているKubernetesワークロードに侵入するという。脅威アクターは侵入に成功すると検出されずに攻撃可能か判断するため、OAST(Out-of-Band Application Security Testing)に使用される「oast[.]me」または「oast[.]pro」にpingを送信する。
これらドメインへのアクセスはセキュリティソリューションのアラートをトリガーする可能性が低く、外部への接続性を検証できるため利用されたと推測されている。
次に、脅威アクターは環境情報を収集して攻撃可能かどうかを判断する。攻撃可能と判断すると中国のリモートサーバからWindowsまたはLinux向けのマイニング型マルウェアをダウンロードして実行する。このとき、脅威アクターは同情を誘うメモを残しつつ、マルウェアの永続性を確保するためにcronジョブにマルウェアを登録する。
○対策
これら脆弱性は「OpenMetadata 1.3.1-Release」にて修正されている。OpenMetadataを運用している管理者にはバージョンを確認し、最新のリリースにアップデートすることが推奨されている。また、Microsoftは脅威アクターがリバースシェルを開始しようとする試みを「Microsoft Defender for Cloud」であれば検出できるとして導入を推奨している。
Microsoftは、今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○「OpenMetadata」の脆弱性
Microsoftによって悪用が確認された脆弱性は、2024年3月15日に公開されたOpenMetadataの複数の脆弱性とみられる。これら脆弱性は悪用されるとリモートの攻撃者に認証をバイパスしてコードを実行される可能性がある。
悪用が確認された脆弱性の情報(CVE)は次のとおり。
CVE-2024-28255 - JwtFilterにAPI認証バイパスの脆弱性。攻撃者はリクエストパスを細工して認証をバイパスし、任意のSpring Expression Language(SpEL)式を実行する可能性がある
CVE-2024-28847 - 「/api/v1/events/subscriptions」にリモートコード実行(RCE: Remote Code Execution)の脆弱性
CVE-2024-28253 - 「/api/v1/policies」にリモートコード実行の脆弱性
CVE-2024-28848 - 「/api/v1/policies/validation/condition/<expression>」にリモートコード実行の脆弱性
CVE-2024-28254 - 「/api/v1/events/subscriptions/validation/condition/<expression>」にリモートコード実行の脆弱性
○クリプトジャッキング攻撃の概要
Microsoftによると、脅威アクターは上記の脆弱性を悪用し、インターネットに公開されているOpenMetadataイメージを実行しているKubernetesワークロードに侵入するという。脅威アクターは侵入に成功すると検出されずに攻撃可能か判断するため、OAST(Out-of-Band Application Security Testing)に使用される「oast[.]me」または「oast[.]pro」にpingを送信する。
これらドメインへのアクセスはセキュリティソリューションのアラートをトリガーする可能性が低く、外部への接続性を検証できるため利用されたと推測されている。
次に、脅威アクターは環境情報を収集して攻撃可能かどうかを判断する。攻撃可能と判断すると中国のリモートサーバからWindowsまたはLinux向けのマイニング型マルウェアをダウンロードして実行する。このとき、脅威アクターは同情を誘うメモを残しつつ、マルウェアの永続性を確保するためにcronジョブにマルウェアを登録する。
○対策
これら脆弱性は「OpenMetadata 1.3.1-Release」にて修正されている。OpenMetadataを運用している管理者にはバージョンを確認し、最新のリリースにアップデートすることが推奨されている。また、Microsoftは脅威アクターがリバースシェルを開始しようとする試みを「Microsoft Defender for Cloud」であれば検出できるとして導入を推奨している。
Microsoftは、今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
「Meta」をもっと詳しく
「Meta」のニュース
-
株式会社そごう・西武が Shopify Plus で運営する「CHOOSEBASE SHIBUYA 公式オンラインストア」の Meta のカタログ管理環境に「dfplus.io」が採用されました。5月16日16時46分
-
平埜生成さんが出演するリアルタイム学習支援アプリ「MetaMoJi ClassRoom」のTVCMを5月18日(土)より放送開始5月16日16時46分
-
Metalo Jungtys社との独占販売代理店契約締結のお知らせ5月16日12時46分
-
Workvivo by Zoom が Workplace from Meta の優先移行パートナーに選出5月15日19時16分
-
パナソニックや東京エレクトロンなどがIBMとMetaが主導する「AI Alliance」参画5月15日18時9分
-
「MetaMoJi Dental eNote」と予約キャンセル防止システムが機能連携、予約どおりの受診で“待たない・長引かない”歯科治療を実現5月15日17時46分
-
前澤友作さん、米MetaとFacebook Japanを提訴 損害賠償として“1円”請求 なりすまし詐欺広告を巡って5月15日16時19分
-
前澤友作氏、Meta社・Facebook Japan社を提訴 損害賠償請求は「あえて1円」5月15日14時51分
-
前澤友作氏、Meta社とFacebook Japan社を提訴「損害賠償請求はあえて1円にしました」5月15日13時54分
-
「Meta Quest 2/3」にトラベルモードが追加 もう飛行機内でメニューが吹っ飛ばない5月14日15時40分