Microsoft исправляет ошибку, позволяющую хакерам захватывать контейнеры Azure

18
Microsoft выпускает Office LTSC 2021 для Windows и Mac

Microsoft устранила уязвимость в экземплярах контейнеров Azure под названием Azurescape, которая позволяла вредоносному контейнеру захватывать контейнеры, принадлежащие другим клиентам на платформе.

По словам исследователей, злоумышленник, использующий Azurescape, может выполнять команды в контейнерах других пользователей и получать доступ ко всем их данным, развернутым на платформе.

Данные клиентов под угрозой

Microsoft уведомила клиентов, на которых может повлиять Azurescape, об изменении привилегированных учетных данных для контейнеров, развернутых на платформе до 31 августа.

Компания заявляет, что отправила оповещения из-за излишней осторожности, поскольку не обнаружила никаких признаков атаки, которая использовала уязвимость для доступа к данным клиентов.

«Если вы не получили Уведомление о работоспособности службы, никаких действий не требуется. Уязвимость исправлена, и наше расследование не выявило несанкционированного доступа в других кластерах » – Microsoft

Экземпляры контейнеров Microsoft Azure (ACI) – это облачная служба, которая позволяет компаниям развертывать упакованные приложения (контейнеры) в облаке.

Для тех, кто не знаком с контейнерами, в них есть все исполняемые файлы, зависимости и файлы, необходимые для запуска конкретного приложения, но они хранятся в одном пакете для упрощения распространения и развертывания.

Когда контейнеры развернуты, ACI изолирует их от других запущенных контейнеров, чтобы предотвратить их совместное использование пространства памяти и взаимодействие друг с другом.

Во всем виноват устаревший код

Исследователи из Palo Alto Networks обнаружили Azurescape и сообщили в Microsoft. В сегодняшнем отчете компания Yuval Avrahami предоставляет технические подробности об уязвимости, отмечая, что она «позволяла злоумышленникам скомпрометировать многопользовательские кластеры Kubernetes, на которых размещен ACI».

Аврахами говорит, что обнаружение проблемы началось, когда выяснилось, что ACI использовал код, выпущенный почти пять лет назад, который был уязвим для ошибок, связанных с выходом из контейнера.

«RunC v1.0.0-rc2 был выпущен 1 октября 2016 года и был уязвим как минимум для двух CVE-ошибок контейнеров. Еще в 2019 году мы проанализировали одну из этих уязвимостей, CVE-2019-5736, – поясняет исследователь.

Использования CVE-2019-5736 было достаточно для выхода из контейнера и выполнения кода с повышенными привилегиями на базовом хосте, узле Kubernetes.

Исследователь резюмировал следующие шаги для получения несанкционированного доступа к другим контейнерам следующим образом:

  • На узле отслеживайте трафик на порту Kubelet, порт 10250, и ждите запроса, который включает токен JWT в заголовке авторизации.
  • Выпуск аз контейнера Exec для выполнения команды на загруженный контейнер. Модуль моста теперь отправит запрос на выполнение в Kubelet на скомпрометированном узле.
  • На узле извлеките токен моста из заголовка авторизации запроса и используйте его для установки оболочки на API-сервере.

Чтобы продемонстрировать атаку, Palo Alto Networks опубликовала видео, показывающее, как злоумышленник мог вырваться из своего контейнера, чтобы получить права администратора для всего кластера.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here