IT資産検索の脆弱性検知

開発組織はコミュニケーション、コラボレーション、生産性を高めるために数多くのツールに依存しており、その中でドッカーやクーバーネティスなどのアプリケーションパッケージングツールを利用する企業が増えています。

ドッカーコンテナを利用すると、アプリケーション、環境設定、複数のライブラリなどを可視化して配布するため、エンジニアがひとつずつPCやサーバーに作業することなく一度にインストールでき、企業やエンジニアがかなり好むツールといえます。

2021年のStackoverflowのアンケート結果を見ると、どのくらいの企業がドッカーを利用しているかがわかります。
提供:Stackoverflow

ただし、このような利便性の背後には、ドッカーコンテナをきちんと管理しないと、コード実行、ディレクトリトラバーサル、権限取得などのさまざまな脆弱性が発生し、深刻なダメージを受ける可能性があります。


2014年から現在まで知られているドッカーの脆弱性は合計34種類であり、さまざまな種類の脆弱性のうち7以上のスコアを持つ脆弱性は9つで、二重権限取得、コード実行などのリスクが高い脆弱性も存在しています。
提供:CVE Details

特に、CVE-2019-5736の脆弱性は、runCバグを利用し、ホストのroot権限を取得し、コンテナサーバーや他のコンテナにアクセスできる恐ろしい脆弱性であるなので、下のように影響を受けるバージョンを利用しているとすぐにパッチをしなければなりません。

Docker CE 18.06.2, 18.09.2 以前のバージョン、Docker EE 17.06.2-ee-19 以前のバージョン、18.03.1-ee-6, 18.09.2

世界数多くのIPアドレスのうち、ドッカーが運営されているIPを検索した結果、27,796のIPが中国、アメリカ、韓国の順に使われていることが確認できます。
ドッカーが運営されているIP


27,796のIPのうち、脆弱な「Docker 17.06.2」バージョンを検索したところ、1,694のIPが確認されました。


2019年に報告された脆弱性であるにもかかわらず、まだ脆弱なバージョンのDockerを使用しているIPがかなりあることを統計で確認できます。

ドッカーが運営されているIP

詳細な分析のために、IPスコアがインバウンド:Criticalとして特定されたIPを見てみましょう。


ドッカーを1024ポートでサービスしており、脆弱性が6つ、Exploit DBが1つ存在するかなり脆弱な状態のIPアドレスです。
IPスコアがCriticalであるIPの検索結果

特定された脆弱性のうち、リスクがかなり高いCVE-2019-5736が特定されます。


この脆弱性は、前述のように、runCバグを使用してホストのroot権限を取得し、コンテナサーバーや他のコンテナにアクセスできる恐ろしい脆弱性であるため、できるだけ早くセキュリティパッチを適用する必要があります。
IPで検知されたCVE-2019-5736


Criminal IPで確認されたドッカーの脆弱性はすぐに最新バージョンにアップデートする必要があります。

また、フォローアップとしてドッカー設定のセキュリティ強化、ホストOSのセキュリティ強化、ドッカーファイルイメージ権限管理、ドッカーSwarmノードによる権限分離などの保護措置を行い、開発環境の安全性を確保する必要があります。

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000