编译:代码卫士

微软修复了 Azure Container Instances (ACI) 中的一个漏洞(Azurescape),它可导致恶意容器接管属于该平台其他客户的容器。

研究人员指出,利用 Azurescape 的攻击者可在其他用户的容器中执行代码并且访问部署在该平台的所有数据。

客户数据有风险

微软通知客户称他们可能受 Azurescape 影响,需要更改在8月31日前部署到该平台的容器的权限凭证。微软表示出于谨慎考虑发出这些邮件,因为目前尚未发现该漏洞被用于访问客户数据的攻击活动。微软指出,“如果你未收到服务健康状况通知邮件,则无需采取任何措施。该漏洞已修复,调查结果显示其它集群中并非出现越权访问的情况。”

微软 ACI 是基于云的服务,可使企业在云上部署包应用程序(容器)。容器中具有运行特定应用程序必须的可执行文件、依赖关系和文件,不过存储在单个软件包中以便于分发和部署。

部署容器时,ACI 把容器和其它运行的容器分离,以阻止他们共享内存并互相交互。

过时代码是罪魁祸首

Palo Alto Networks 公司的研究员发现Azurescape 并告知微软公司。该公司的研究员 Yuval Avrahami 今天发布文章详述了该漏洞的细节,表示该漏洞“可使恶意用户攻陷托管 ACI 的多租户 Kubernetes 集群。”

Avrahami 指出,当时发现 ACI 使用了约5年前发布的代码,这些代码易受容器逃逸漏洞影响。他解释称,“RunC v1.0.0-rc2 在2016年10月1日发布,至少易受两个容器崩溃CVE漏洞影响。2019年,我们分析了其中一个漏洞 CVE-2019-5736。”利用 CVE-2019-5736 足以使该容器崩溃并以底层主机的提升权限执行代码。

Avrahami 总结了越权访问其它容器的步骤:

  • 在节点,监控 Kubelet 端口(端口10250)上的流量,并等待在 Authorization 标头内包含 JWT 零阿皮的请求。

  • 发布 az container exec,在所上传的容器上运行命令。该 bridge pod 将向受陷系欸但上的 Kubelet 发送 exec 请求。

  • 在节点上,从请求的 Authorization 标头提取 bridge 令牌,并以此在 API-服务器上弹出 shell。

Palo Alto Networks 公司还发布视频,展示攻击者如何突破容器获得整个集群的管理员权限。

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-fixes-bug-letting-hackers-take-over-azure-containers/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。