Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見

画像提供：マイナビニュース

Microsoftはこのほど、「Attackers exploiting new critical OpenMetadata vulnerabilities on Kubernetes clusters｜Microsoft Security Blog」において、メタデータ管理ソリューション「OpenMetadata」の重大な脆弱性を悪用するクリプトジャッキング(無断で暗号資産をマイニングする)攻撃を発見したと伝えた。この攻撃では、コンテナオーケストレーションシステム「Kubernetes」のワークロードに不正アクセスし、マイニング型マルウェアを展開することが確認されている。

○「OpenMetadata」の脆弱性

Microsoftによって悪用が確認された脆弱性は、2024年3月15日に公開されたOpenMetadataの複数の脆弱性とみられる。これら脆弱性は悪用されるとリモートの攻撃者に認証をバイパスしてコードを実行される可能性がある。

悪用が確認された脆弱性の情報(CVE)は次のとおり。

CVE-2024-28255 - JwtFilterにAPI認証バイパスの脆弱性。攻撃者はリクエストパスを細工して認証をバイパスし、任意のSpring Expression Language(SpEL)式を実行する可能性がある

CVE-2024-28847 - 「/api/v1/events/subscriptions」にリモートコード実行(RCE: Remote Code Execution)の脆弱性

CVE-2024-28253 - 「/api/v1/policies」にリモートコード実行の脆弱性

CVE-2024-28848 - 「/api/v1/policies/validation/condition/＜expression＞」にリモートコード実行の脆弱性

CVE-2024-28254 - 「/api/v1/events/subscriptions/validation/condition/＜expression＞」にリモートコード実行の脆弱性

○クリプトジャッキング攻撃の概要

Microsoftによると、脅威アクターは上記の脆弱性を悪用し、インターネットに公開されているOpenMetadataイメージを実行しているKubernetesワークロードに侵入するという。脅威アクターは侵入に成功すると検出されずに攻撃可能か判断するため、OAST(Out-of-Band Application Security Testing)に使用される「oast[.]me」または「oast[.]pro」にpingを送信する。