Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2018年10月22日にSysdigのOmer Azariaが投稿したブログ(https://sysdig.com/blog/detecting-jquery-file-upload-plugin-vulnerability-using-falco-cve-2018-9206/)を元に日本語に翻訳・再構成した内容となっております。
2018年10月に、広範に使用されているコンポーネントである、「jQuery File Uploadプラグイン」に新たな脆弱性が報告されました。 ApacheのWebサーバのセキュリティ設定処理の変更により、このプラグインを使用使用しているユーザは制限のないファイルアップロードが行えるという脆弱性に直面しました。 Falcoを使用してjQueryファイルアップロードの脆弱性(CVE-2018-9206)を検出する方法について詳しく説明して行きたいと思います。
このプラグインを使用すると、ユーザーは任意のファイルをWebサーバーのルートパスに配置する事ができます。 その結果、悪意のあるユーザーがシェルスクリプト、マルウェア、実行可能ファイルをアップロードしてリモートからサーバーにアクセスし、ホストを完全にコントロールされてしまう可能性があります。プラグインのgitリポジトリのフォークの量とこのコンポーネントの人気の高さから、悪用がどれほど単純であるかに加え、この脆弱性は技術的な詳細のみに基づいて行われる単純なリスク評価よりもさらに重要です。
システムに対してパッチを適用するには、ある程度の時間を要します。また、サードパーティのアプリケーションがその内部的にプラグインを使用する可能性がある場合において、環境におけるすべての脆弱なコンポーネントを見つけることはさらに複雑な状況となり得ます。このような状況において、Falcoのビヘイビアベースの検知は、非常に有用です。Falcoは、カーネルを通過するあらゆるシステムイベントに基づいてルールを評価します。
Falcoの標準ポリシーは、HTTPサーバーによる疑わしい活動を識別します。たとえばシェルを実行することによって上記の脆弱性を不正利用する試みは、Falcoによって検出され、下記のセキュリティイベントを生成します。
Falcoは、より特定のアプリケーションの脆弱性を識別するためにフォーカスしたルールを作成できる柔軟な言語を実装しています。下記は、疑わしいビヘイビアを検出するFalcoエンジンの使用例です。
このルールの記述の仕方は、より広範囲のアクションを検出する可能性があるため、ユーザの環境に応じた若干の調整が必要です。
ただ単なるセキュリティイベントやセキュリティ侵害の指標を得られるだけでは十分な対応を行えない事もあり得ます。次なるアクションとして、セキュリティ侵害を受けたノードに対して、コンテナの再起動やプロセスの強制的な停止などの能動的な執行を行うことをユーザは、時に、望みます。
ランタイムコンテナセキュリティの実装を説明したブログでは、Kubernetes上においてどのようにセキュリティ脅威を逓減させるかについても説明させていただきました。
セキュリティ侵害が発生した際には、何が起こったのかを把握することは、多くのサイバーセキュリティに関与する人々にとって必須であると言えます。特に、コンテナが消失した際においても何が起こったのかを把握できる事が求められます。商用版であるSysdig SecureはFalcoエンジンを活用して構築しました。Sysdig Secureは、より詳細なシステムレベルのデータとツールも内包しており、Falcoエンジンによりインシデントを検出するだけでなく、システム内で発生したインシデント以降の悪意のあるアクティビティの分析も可能としています。
FalcoとSysdig Secureの詳細については、ウェビナー「フォレンジックのベストプラクティスとコンテナーのインシデント対応」を是非ご覧ください。
