TokyoBlackHatNews

gbhackers.com 4分で読了

Kubernetesの欠陥によりハッカーはコンテナからクラウドアカウントへジャンプできる

ハッカーはKubernetesの設定ミスを悪用してコンテナから価値の高いクラウドアカウントにジャンプしており、単一の侵害されたポッドをクラウドレベルの完全なアクセスに変えています。

この傾向は急速に加速しており、Kubernetes関連のアイデンティティ悪用とトークン盗難操作がエンタープライズ環境全体で急増しています。

Kubernetesは現在、多くの大規模アプリケーションを支えており、バックエンドクラウドシステムに到達したいアタッカーにとって有利なターゲットとなっています。

イングレスコントローラやロードバランサーを通じて公開されているパブリックサービスは、アプリケーション層のバグを利用してコンテナ内でリモートコード実行を獲得するための初期経路を脅威アクターに提供します。

Unit 42クラウドセキュリティアセスメントは、クラウドインフラストラクチャをレビューして設定ミスとセキュリティギャップを特定する評価サービスです。

ポッド内に入ると、アタッカーは弱いRBACルール、過度に特権化されたサービスアカウント、およびネットワークポリシーの欠落を利用してクラスタを探索し、接続されたクラウドサービスに到達します。

暗号交換所での盗まれたトークン

2025年の暗号プラットフォームでの1つのインシデントでは、アタッカーはまず開発者のワークステーションを侵害し、被害者のクラウドセッションを使用して本番Kubernetesクラスタに悪意のあるポッドをデプロイしました。

Image

ポッドはマウントされたサービスアカウントトークンを公開するように構築されており、これは幅広いクラスタ権限を持つ強力なCI/CD管理アイデンティティであることが判明しました。

このトークンを使用して、アタッカーはKubernetes APIに直接認証し、名前空間全体でシークレットをリストし、長期的なアクセスを保つために本番ワークロードにバックドアをドロップしました。

そこから、彼らはクラウドホストされたバックエンドシステムにピボットし、より多くの認証情報を収集し、最終的に交換所の財務インフラに到達して、デジタル資産の盗難を可能にしました。

React2Shell(CVE‑2025‑55182)

React2Shell脆弱性アクセス、CVE‑2025‑55182は、React Server Componentsのフライトプロトコルの重大なバグで、細工されたHTTPリクエストを通じて認証されていないリモートコード実行を可能にします。

Image

2025年12月の公開から数日以内に、脅威アクターはこの欠陥を使用して、イングレスコントローラとクラウドロードバランサーの背後にあるKubernetesホストアプリケーションコンテナ内でコマンドを実行しました。

複数の認可コンテキスト、生のHTTPリクエストを発行し、ネットワークスキャンとDNS列挙を実行し、シェルまたはファイルシステムコマンドを実行します。

Image

コード実行を取得すると、アタッカーはポッド環境を列挙し、マウントされたサービスアカウントトークンを読み取り、Kubernetes APIを呼び出してそれらのアイデンティティが何ができるかをテストしました。

複数の環境では、環境変数またはメタデータサービスからクラウド認証情報も取得し、その後、基盤となるクラウドアカウントに移動してクリプトマイナーをデプロイし、バックドアをインストールし、データベースパスワードを盗みました。

一般的な攻撃パターン

両方のケースは同じ反復可能なパターンを示しています。まず、アタッカーは脆弱性または設定ミス(MITRE ATT&CK T1190、公開されているアプリケーションの悪用)を利用してコンテナ内でリモートコード実行を取得します。

次に、彼らはKubernetesアイデンティティ、通常は予測可能なパスにマウントされたサービスアカウントトークンを盗み、技術T1528(アプリケーションアクセストークンの盗難)と一致します。

最後に、彼らはこれらの盗まれたアイデンティティと発見されたクラウド認証情報を使用して特権をエスカレートし、クラスタとクラウドサービス全体で横展開とデータアクセスを実行し、元のポッドの外側でアクセスします。

Cortex XQLクエリにより、ディフェンダーはKubernetesテレメトリを詳しく調べ、コンテナ化された環境内の悪意のあるアクティビティの微妙なインジケータを露出させることができます。

Image

これらの脅威に対する防御には、コンテナにパッチを当てるだけでなく、アイデンティティ認識型コントロールと強力な可視性が必要です。

セキュリティチームは厳密なRBACとPodセキュリティスタンダードを実装して、ワークロードが最小限の特権で実行され、長寿命トークンを短命の投影サービスアカウントトークンに置き換えて、盗難の影響を制限する必要があります。

Kubernetesの監査ログを有効にし、クラウドテレメトリと統合することで、侵入の早期段階で異常なAPI呼び出し、特権の変更、および疑わしいポッドの展開を検出するのに役立ちます。

継続的なランタイム監視も重要です。これにより、コンテナ内の予期しないシェル、データ流出コマンド、および暗号マイニング動作にフラグを立てることができ、ディフェンダーがアタッカーがクラウドコントロールプレーンに到達する前に侵害されたポッドを削除できます。

翻訳元: https://gbhackers.com/kubernetes-flaws/

ソース: gbhackers.com
#Kubernetes #RBAC #React2Shell #クラウドセキュリティ #コンテナセキュリティ #トークン盗難 #リモートコード実行 #特権エスカレーション #脆弱性 #認証情報管理

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚