2024年度クラウドネイティブセキュリティおよび利用状況レポート
コンテナのセキュリティ機能の一つとして、ルートファイルシステムを読み取り専用に設定できることが挙げられます。
これにより、攻撃者がマルウェアをディスクに書き込むことを防ぐことができます。
しかし、ファイルレスマルウェアはこの保護を回避し、メモリ上で直接実行されるため、特に注意が必要です。
読み取り専用の環境でも、脆弱性を悪用しメモリ内でコードを実行する攻撃が可能であることが示されています。
例えば、Redisの脆弱性CVE-2022-0543を利用した攻撃では、Luaスクリプトを介してホスト上で直接シェルコマンドを実行することが可能です。
このようなファイルレスマルウェアの攻撃は、/dev/shmディレクトリを利用して実行されることがあり、Falcoなどのセキュリティツールを使用して検出することができます。
