公有云首次跨賬戶容器接管 微軟警告Azure容器例項服務存在漏洞

微軟上週三表示，它修復了Azure容器例項(ACI)服務中的一個漏洞，該漏洞可能被惡意行為者用來“訪問其他客戶的資訊”，研究人員稱這是“公共雲中的首次跨賬戶容器接管”。

利用這一漏洞，攻擊者可以對其他使用者的容器執行惡意命令，竊取部署到平臺上的客戶機密和影像。Windows製造商沒有透露任何與該漏洞相關的額外細節，只是受影響的客戶“撤銷在2021年8月31日之前部署到該平臺的任何特權憑證”。

Azure Container Instances是一個託管服務，允許使用者在無伺服器的雲環境中直接執行Docker容器，而不需要使用虛擬機器、叢集或協調器。

Palo Alto Networks的Unit 42威脅情報團隊將該漏洞稱為“azuresescape”，指的是攻擊者如何利用跨租戶技術逃離他們的惡意ACI容器，在多租戶Kubernetes叢集上升級特權，並透過執行惡意程式碼控制受影響的容器。

研究人員表示，由於在ACI (runC v1.0.0-rc2)中使用了過時的容器執行時，因此可以利用CVE-2019-5736 (CVSS評分:8.6)逃離容器，並在底層主機上以更高的許可權執行程式碼。

微軟表示，已通知部分客戶使用執行在與Palo Alto Networks建立的惡意容器相同的Kubernetes叢集上的容器進行攻擊。據稱，該叢集託管了100個客戶豆莢和大約120個節點，該公司表示，沒有證據表明惡意行為者濫用該漏洞實施了現實世界的入侵，並補充稱，其調查“顯示沒有未經授權訪問客戶資料”。

這是兩週內曝光的第二個與Azure相關的缺陷，第一個是一個關鍵的Cosmos資料庫缺陷，該缺陷可能被利用來允許任何Azure使用者在沒有任何授權的情況下對其他客戶的資料庫例項進行完全的管理訪問。

Unit 42研究人員稱:“這一發現強調了雲使用者需要採取一種‘深度防禦’的方法來保護他們的雲基礎設施，包括對雲平臺內外的威脅進行持續監控。”“Azurescape的發現也強調了雲服務提供商為外部研究人員提供充分訪問的必要性，以研究他們的環境，搜尋未知的威脅。”

大多數針對雲環境的惡意軟體都專注於執行惡意程式碼並完全控制裝置、加密劫持和濫用受感染的系統發起DDoS攻擊，它們透過避免任何可能向受威脅叢集的所有者發出攻擊警報的行為(包括加密劫持)，來儘量逃避檢測。透過接管容器，進而為進行更廣泛的惡意活動提供基礎，包括竊取憑證、資料洩露、勒索軟體攻擊，甚至是災難性的供應鏈攻擊。

縱觀所有惡意軟體的攻擊方式，絕大多數利用了系統安全漏洞實施網路攻擊，從而影響應用程式及整個網路環境。因此降低系統漏洞數量可以有效減少網路受到攻擊的機會。資料顯示，系統漏洞大多是在開發階段由程式碼缺陷造成，在網路安全日益嚴峻的今天，在軟體開發早期實時進行 原始碼安全檢測查詢程式碼缺陷並修復，可有效降低軟體在上線後由安全漏洞帶來的風險，規避網路攻擊帶來的負面影響。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：