Blackhat Asia 2022の動向 – Kubernetes、クラウドセキュリティなど

By 清水 孝郎 - MAY 15, 2022
Topics: クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ, 脅威リサーチ

SHARE:

本文の内容は、2022年5月13日にMiguel Hernándezが投稿したブログTrends at Blackhat Asia 2022 – Kubernetes, Cloud Security and more(https://sysdig.com/blog/blackhat-asia-2022-trends/)を元に日本語に翻訳・再構成した内容となっております。

今週、BlackHat Asia 2022がハイブリッドモードで開催されました。セキュリティの専門家がどこまでできるかを示す、#infosecコミュニティ内で最も重要なイベントの1つです。今回は、ブルーチームまたはレッドチームの観点から、Kubernetesセキュリティクラウドセキュリティ、またはサプライチェーンセキュリティ向上に焦点を当てた講演やツールの傾向が見られました。

BlackHat Asia 2022
本記事では、発表された講演やツールの中から気になったものを紹介し、サイバーセキュリティにおける今年の今後のトレンドをお伝えします。

ブリーフィング

Blackhat Asiaの2日間のセッションで、私たちはサイバーセキュリティに関するハイレベルな講演をいくつか楽しむことができました。その中でも、特に注目すべきものを紹介します。

  • バックドア調査とインシデントレスポンス:ゼロからプロフィットへ
    • バックドアが発生したセキュリティインシデントを管理することは、決して簡単なことではありません。本講演では、攻撃者のアクセスを理解し、より良い帰属を行うため、あるいは侵害や検知技術の最適な指標を生成するためのデータ取得と分析のための三角形(サーバ、バックドア、ネットワーク)に基づいたBackdoor Incidence Response Matrix (BDIRM) フレームワークを解説します。
  • ファームウェアのサプライチェーンセキュリティは破綻している:私たちはそれを修正できますか?
    • 依存関係は、セキュリティ監査人やデベロッパーにとって頭痛の種ですが、完全な可視性がない場合は、なおさらです。場合によっては、ファームウェア・コンポーネントが脆弱であり、それ自体では悪用できないために使われ続けていることがあります。そのため、別のコンポーネントに別の脆弱性が現れると、前の脆弱性が可能になり、潜在的に残っていた古い脆弱性のリスクを見るのがより複雑になり、バッドスコア化します。
  • ゼロから使うAttack Zero-Knowledge Proof (ZKP) PLONK
    • この講演では、理論対実践の信じられないが実際のケースをレビューします。講演者は、最先端のZKP PLONK C++実装における、攻撃者がすべての検証者が受け入れる偽造証明を作成することを可能にする、重大な問題について議論します。
  • セキュリティを効果的に数値化する – セキュリティの針をセキュリティの現場からボードルームまで移動させる
    • キーノートの1つ。開発者とサイバーセキュリティ・チームの間の責任共有モデルの定義など、魅力的なアイデアが披露されました。脆弱性を誰が所有し、緩和策を誰が所有するかを理解することは、将来のインシデントや時間的・金銭的損失を避けるための鍵になります。エスカレーションと優先順位付けが必要であり、そうでなければ達成できないのです。
    • もう一つの印象的なコンセプトは、サイバーセキュリティの成功を定量化することです。測定することで、対策が効果を上げているかどうかを確認することができます。
  • クラウドからの稲妻のように:組み込みの TLS ライブラリで RCE を見つけ、人気のあるクラウド接続の UPS をトーストする
    • 本講演では、コードにおけるエラー処理の重要性について解説しました。発表者は、これを悪用することで、攻撃者がスイッチやUPSなどのシステム(ネットワークがダウンした場合にシステムの電源を制御する)を制御できること、同じ実装を使用しているため、異なるベンダーで悪用を再現する方法について説明しました。
    • デモンストレーションの間、彼らはデバイスの燃焼を引き起こしました。
  • ダイナミックプロセスアイソレーション
    • リモートタイミングサーバと増幅技術を組み合わせたリモートSpectre攻撃の説明。著者らは、検出メカニズムに従って疑わしいワーカースクリプトのみを分離するプロセス分離メカニズムでコントリビュートしています。ダイナミックプロセスアイソレーションの論文は、この種の攻撃のすべての最新技術を検出するためのソリューションを実証しています。

アーセナル

今回のBlackhat Asiaでは、いくつかのツールが発表されました。必ずしも目新しいものではありませんが、新しい機能や未知のツールを発見することは、常に興味深いものです。特筆すべきは、視点を変えたときの違いである。例えば、Kubernetesのツールをレッドチーム向けと考えるのに対して、サプライチェーンのツールはブルーチームでの利用が中心となっています。

  • Kubesploit
    • オープンソースのペネトレーションテストフレームワークで、クラスターをスキャンし、エクスプロイト後の攻撃も含めてサイバーセキュリティのポスチャーを改善することができます。このツールは、あなたのリポジトリになくてはならないものです。
  • Kdigger
    • このCLIツールは、最初のものと似ていますが、改善を続けているため、お勧めです。機能を紹介するために、デモではminik8s-ctfの環境を示しています。新機能のテストや実装を行うにはとても良いものです。
  • ThunderCloud
  • Supply Chain Attacksでは、3つのツールが紹介されました。Dependency Combobulatorは、リポジトリが公開されているか、最終変更からの時間など、ヒューリスティックを用いて依存関係の混乱を検出します。Packjと似ていますが、この場合はメタデータ(リポジトリが2FAを有効にしている場合)やtyposquatting検出を実装しており、似た名前のパッケージを見つけてエラーを回避します。ChainAlertは、GithubとNPMのタグの違いを利用した依存関係のコミットメントの自動化と検知に重点を置いていますが、検知率は非常に低いです。
  • Pwnppeteerは、フィッシング攻撃をラムダ関数で自動化して管理する攻撃のツールです。
  • Telegripは、優れたフォレンジックツールであるautopsyのようなUIを使用して、Androidデバイスのテレグラムから証拠を取得するのに役立ちます。

次のカンファレンス – KubeCon EU

Blackhat Asiaの中で最も関連性の高いものとなっています。Kubernetes SecurityCloud SecuritySupply Chain Attacksの3つのメイントピックは、予想通り、より多くのコンテンツとツールで軌道に乗っており、これは長期的に続くと思われます。

次のラスベガスでのBlackHatまでまだ数ヶ月ありますが、来週はバレンシアで開催されるKubeCon Europeに参加予定です!

Kubecon Kubernetes Prometheus Security

Kubeconの会期中、私たちはずっと会場にいますので、お会いしたい方はぜひお越しください。Sysdigのブースにお越しいただくか、セキュリティ講演「How Attackers Use Exposed Prometheus Server to Exploit Kubernetes Clusters」をご聴講ください。