Kubernetes環境におけるXZバックドア攻撃CVE-2024-3094に対するNeuVectorの防御方法 | SUSE Communities
< Back to Blog

Kubernetes環境におけるXZバックドア攻撃CVE-2024-3094に対するNeuVectorの防御方法

4月 3, 2024 | By: Glen Kosaka

Share
Share

セキュリティ研究者の Andres Freund 氏が、xz/liblzma ライブラリがバックドアされていることを Debian に報告しました。その結果、CVE-2024-3094 が 重大な CVSS スコア 10 として公表されました。この脆弱性は XZ Utils のバージョン 5.6.0 および 5.6.1 におけるサプライチェーンの侵害に起因しています。XZ Utils は、主要な Linux ディストリビューションに含まれるデータ圧縮ソフトウェアです。推奨される対処法は、問題のない XZ Utils バージョン(5.6.0 より前のバージョン)にダウングレードすることです。

CVE-2024-3094の検出

SUSEが提供する100%オープンソースのフルライフサイクル・コンテナ・セキュリティ・ソリューションであるNeuVectorは、2024年03月31日に作成されたCVEデータベースバージョン3.395以降から脆弱性スキャナでCVE-2024-3094をスキャンし、検出することができます。イメージのスキャン、コンテナの実行、およびコンテナが実行されるホストのスキャンは、この脆弱性攻撃に対して保護するために取られるいくつかの実行可能な手順です。検出された脆弱性は、直ちに修正する必要があります。一部のパイプラインによっては、修正したイメージを再デプロイするのに時間がかかる場合があります。

脆弱性の検出と防止

NeuVectorは、ゼロデイ攻撃や、Kubernetesやその他のコンテナ環境、およびそれらが実行されるホスト*における未知の脆弱性やパッチ未適用の脆弱性の悪用を検出し、防止するために設計されたゼロトラストのランタイムセキュリティを提供します。NeuVectorのランタイムプロテクションには以下が含まれます:

  • 一般的なゼロトラストのネットワーク制御は、無許可のインバウンドまたはアウトバウンドのssh接続を許可しません。脆弱性攻撃が発生した場合、これらのネットワーク制御は、機密データのプロービングなど、攻撃の範囲を拡大するフォローオン(すなわち「キルチェーン」)活動の検出にも役立ちます。
  • ゼロ・トラスト・エグレス対策は、コマンド&コントロール攻撃を防ぐ最も効果的な方法です。外部アクセスのあるコンテナやこのCVEが検出されたコンテナに対しては、NeuVectorのプロテクトモード(ブロッキング)を有効にして、積極的な出口制御を行うようにします。デフォルトでは、リストされた正当な外部接続を許可することで、不正なSSH接続を防ぐことができます。しかし、外部からのSSH接続を明示的にブロックする追加保護レイヤを実装することもできます。
  • インバウンド接続のsshdやアウトバウンド接続のsshなど、実行されているコンテナでは通常予期されないプロセスアクティビティに対する不審なプロセスの検出が組み込まれています。これらの不審なアクティビティが検出された場合のアラートが適切に設定されていることを確認し、これらのプロセスをブロックするために、影響を受けるコンテナに対しプロテクトモードを検討してください。
  • NeuVectorでの追加の保護策:
    • CVE-2024-3094を含むイメージのデプロイをブロックするためのアドミッション・コントロール・ルールを追加する:
    • 潜在的に影響を受けるコンテナに対しプロテクトモードを使用することにより、以下が確認されます :
      • 許可リストにegress/外部接続が含まれていないこと
      • 外部接続は、特定の DNS ホスト名と IP アドレス、および必要なアプリケーションプロトコルのみに明示的に許可する。
    • イメージソースを審査・承認し、デプロイ前にアドミッションコントロールによる署名の検証を要求することで、サプライチェーンセキュリティを強化する。

 

*NeuVectorは、ホストとノードの脆弱性をスキャンし、疑わしいプロセスを検出します。ネットワークファイアウォールによる保護は、コンテナワークロードにのみ適用されます。

NeuVector コンテナ・セキュリティ・プラットフォーム・ソフトウェアおよびそのコンテナ自体は、この攻撃に対して脆弱ではありません。SUSEがエンタープライズ向けにサポートするコンテナセキュリティ、NeuVector Primeをご利用のお客様で、本脆弱性に対してご質問がございましたら、SUSEサポートまでお問い合わせください。

 

詳細情報が必要ですか?

SUSEは、最近のブログ投稿openSUSEのアナウンスでこの脆弱性に対処し、SUSE Linux EnterpriseとLeapもこのバックドアの影響を受けないことを明らかにしています。

Share

Related Articles

10月 25th, 2022

SUSE Edge2.0:エッジを管理するためのクラウドネイティブソリューション

12月 15th, 2023

アダプティブLinuxプラットフォームでLinuxディストリビューションに革命を起こす

11月 22nd, 2023

SUSEとBosch: ハイブリッドクラウド制御・監視アーキテクチャによる産業用IoTの開拓

5月 22nd, 2023

コンテナセキュリティ – OpenShift 4にNeuVector 5を素早くインストールする方法

Avatar photo
880 views
Glen Kosaka Glen is head of product security at SUSE. Glen has more than 20 years of experience in enterprise security, marketing SaaS and infrastructure software. He has held executive management positions at NeuVector, Trend Micro, Provilla, Reactivity, Resonate, Quantum and Rignite.
Back

IT Modernization


SAP Solutions


AI and Analytics


Hybrid Cloud Solutions


Nonstop IT


Exit Federal Government

Back

Business-Critical Linux

Enterprise Container Management

Edge

All Products
Back

Solutions

Hybrid Cloud IT
Business-critical Linux

Run & secure cloud and on-prem workloads
Run SAP
Run SAP

Deliver mission-critical SAP solutions
Enterprise Container Management
Enterprise Container Management

Orchestrate cloud-native apps
IT Operations at the Edge
Edge

Deploy intelligent devices to the edge
Public Cloud
SUSE for Public Cloud

Accelerate innovation across your clouds
Security
Security

Secure your digital enterprise

Industries

Back

Support

Product Support
Premium Support Services

Dedicated support services from a premium team


Long Term Service Support

Stay on your existing product version


Renew Your Support Subscription

Services

Consulting Services
Training & Certification
Premium Technical Advisory Services

Resources

SUSE Support User Guide
Patches & Updates
Product Documentation
Knowledgebase
SUSE Customer Center
Product Support Life Cycle
Licensing
Package Hub

Community packages for SUSE Linux Enterprise Server


Driver Search
Support Forums
Developer Services
Beta Program
Security
Back

Partners

Partner Program


Find a Partner


Become a Partner


Login to the SUSE Partner Portal

Back

Communities

Community

Blog


Forum


Open Source Projects


openSUSE.org



SUSE Polska

Back

About

About Us


Leadership


Careers


Newsroom


Success Stories


Investor Relations


Social Impact


SUSE Logo and Brand


Events & Webinars


Merchandise Store


Communications Preferences