開発組織はコミュニケーション、コラボレーション、生産性を高めるために数多くのツールに依存しており、その中でドッカーやクーバーネティスなどのアプリケーションパッケージングツールを利用する企業が増えています。
ドッカーコンテナを利用すると、アプリケーション、環境設定、複数のライブラリなどを可視化して配布するため、エンジニアがひとつずつPCやサーバーに作業することなく一度にインストールでき、企業やエンジニアがかなり好むツールといえます。
2021年のStackoverflowのアンケート結果を見ると、どのくらいの企業がドッカーを利用しているかがわかります。
提供:Stackoverflow
ただし、このような利便性の背後には、ドッカーコンテナをきちんと管理しないと、コード実行、ディレクトリトラバーサル、権限取得などのさまざまな脆弱性が発生し、深刻なダメージを受ける可能性があります。
2014年から現在まで知られているドッカーの脆弱性は合計34種類であり、さまざまな種類の脆弱性のうち7以上のスコアを持つ脆弱性は9つで、二重権限取得、コード実行などのリスクが高い脆弱性も存在しています。
提供:CVE Details
特に、CVE-2019-5736の脆弱性は、runCバグを利用し、ホストのroot権限を取得し、コンテナサーバーや他のコンテナにアクセスできる恐ろしい脆弱性であるなので、下のように影響を受けるバージョンを利用しているとすぐにパッチをしなければなりません。
Docker CE 18.06.2, 18.09.2 以前のバージョン、Docker EE 17.06.2-ee-19 以前のバージョン、18.03.1-ee-6, 18.09.2
世界数多くのIPアドレスのうち、ドッカーが運営されているIPを検索した結果、27,796のIPが中国、アメリカ、韓国の順に使われていることが確認できます。
ドッカーが運営されているIP
27,796のIPのうち、脆弱な「Docker 17.06.2」バージョンを検索したところ、1,694のIPが確認されました。
2019年に報告された脆弱性であるにもかかわらず、まだ脆弱なバージョンのDockerを使用しているIPがかなりあることを統計で確認できます。
ドッカーが運営されているIP
詳細な分析のために、IPスコアがインバウンド:Criticalとして特定されたIPを見てみましょう。
ドッカーを1024ポートでサービスしており、脆弱性が6つ、Exploit DBが1つ存在するかなり脆弱な状態のIPアドレスです。
IPスコアがCriticalであるIPの検索結果
特定された脆弱性のうち、リスクがかなり高いCVE-2019-5736が特定されます。
この脆弱性は、前述のように、runCバグを使用してホストのroot権限を取得し、コンテナサーバーや他のコンテナにアクセスできる恐ろしい脆弱性であるため、できるだけ早くセキュリティパッチを適用する必要があります。
IPで検知されたCVE-2019-5736
Criminal IPで確認されたドッカーの脆弱性はすぐに最新バージョンにアップデートする必要があります。
また、フォローアップとしてドッカー設定のセキュリティ強化、ホストOSのセキュリティ強化、ドッカーファイルイメージ権限管理、ドッカーSwarmノードによる権限分離などの保護措置を行い、開発環境の安全性を確保する必要があります。
また、フォローアップとしてドッカー設定のセキュリティ強化、ホストOSのセキュリティ強化、ドッカーファイルイメージ権限管理、ドッカーSwarmノードによる権限分離などの保護措置を行い、開発環境の安全性を確保する必要があります。
0コメント