Distrolessとは

Distrolessコンテナは、特定のアプリケーションを実行するために必要な依存関係のみを含むコンテナのタイプであり、必要でない追加のソフトウェアやツールは含まれていません。これらのコンテナは、可能な限り軽量で安全であるように設計されており、不要なコンポーネントを削除することで攻撃面を最小限に抑えることを目指しています。

Distrolessコンテナは、セキュリティと信頼性が最優先される生産環境でよく使用されます。

Distrolessコンテナの例には以下のものがあります:

• Google提供: https://console.cloud.google.com/gcr/images/distroless/GLOBAL

• Chainguard提供: https://github.com/chainguard-images/images/tree/main/images

Distrolessの武器化

Distrolessコンテナを武器化する目的は、distrolessによって暗示される制限（システム内の一般的なバイナリの欠如）と、/dev/shmでの読み取り専用または実行不可など、コンテナで一般的に見られる保護をもってしても、任意のバイナリやペイロードを実行できるようにすることです。

メモリを通じて

2023年のある時点で来る予定...

既存のバイナリを通じて

openssl

****この投稿で、 コンテナ内で実行されるソフトウェアに必要である可能性があるため、openssl バイナリがこれらのコンテナで頻繁に見つかることが説明されています。

openssl バイナリを悪用することで、任意のものを実行することが可能です。