公有云首次跨賬戶容器接管 微軟警告Azure容器例項服務存在漏洞
微軟上週三表示,它修復了Azure容器例項(ACI)服務中的一個漏洞,該漏洞可能被惡意行為者用來“訪問其他客戶的資訊”,研究人員稱這是“公共雲中的首次跨賬戶容器接管”。
利用這一漏洞,攻擊者可以對其他使用者的容器執行惡意命令,竊取部署到平臺上的客戶機密和影像。Windows製造商沒有透露任何與該漏洞相關的額外細節,只是受影響的客戶“撤銷在2021年8月31日之前部署到該平臺的任何特權憑證”。
Azure Container Instances是一個託管服務,允許使用者在無伺服器的雲環境中直接執行Docker容器,而不需要使用虛擬機器、叢集或協調器。
Palo Alto Networks的Unit 42威脅情報團隊將該漏洞稱為“azuresescape”,指的是攻擊者如何利用跨租戶技術逃離他們的惡意ACI容器,在多租戶Kubernetes叢集上升級特權,並透過執行惡意程式碼控制受影響的容器。
研究人員表示,由於在ACI (runC v1.0.0-rc2)中使用了過時的容器執行時,因此可以利用CVE-2019-5736 (CVSS評分:8.6)逃離容器,並在底層主機上以更高的許可權執行程式碼。
微軟表示,已通知部分客戶使用執行在與Palo Alto Networks建立的惡意容器相同的Kubernetes叢集上的容器進行攻擊。據稱,該叢集託管了100個客戶豆莢和大約120個節點,該公司表示,沒有證據表明惡意行為者濫用該漏洞實施了現實世界的入侵,並補充稱,其調查“顯示沒有未經授權訪問客戶資料”。
這是兩週內曝光的第二個與Azure相關的缺陷,第一個是一個關鍵的Cosmos資料庫缺陷,該缺陷可能被利用來允許任何Azure使用者在沒有任何授權的情況下對其他客戶的資料庫例項進行完全的管理訪問。
Unit 42研究人員稱:“這一發現強調了雲使用者需要採取一種‘深度防禦’的方法來保護他們的雲基礎設施,包括對雲平臺內外的威脅進行持續監控。”“Azurescape的發現也強調了雲服務提供商為外部研究人員提供充分訪問的必要性,以研究他們的環境,搜尋未知的威脅。”
大多數針對雲環境的惡意軟體都專注於執行惡意程式碼並完全控制裝置、加密劫持和濫用受感染的系統發起DDoS攻擊,它們透過避免任何可能向受威脅叢集的所有者發出攻擊警報的行為(包括加密劫持),來儘量逃避檢測。透過接管容器,進而為進行更廣泛的惡意活動提供基礎,包括竊取憑證、資料洩露、勒索軟體攻擊,甚至是災難性的供應鏈攻擊。
縱觀所有惡意軟體的攻擊方式,絕大多數利用了系統安全漏洞實施網路攻擊,從而影響應用程式及整個網路環境。因此降低系統漏洞數量可以有效減少網路受到攻擊的機會。資料顯示,系統漏洞大多是在開發階段由程式碼缺陷造成,在網路安全日益嚴峻的今天,在軟體開發早期實時進行 原始碼安全檢測查詢程式碼缺陷並修復,可有效降低軟體在上線後由安全漏洞帶來的風險,規避網路攻擊帶來的負面影響。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2791741/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 雲容器例項服務入門必讀
- Azure DevOps 跨賬號連線 Azure 服務dev
- Laravel 服務容器、服務提供器、契約例項講解Laravel
- 微軟Azure Container Service的容器化應用微軟AI
- 公有云專線直連服務-ElinkcloudCloud
- 公有云服務對比IDC服務,有哪些優勢?
- 從500到賬戶接管
- Laravel服務容器Laravel
- Docker容器配置Nginx例項分享DockerNginx
- Azure AD Domain Service(一)將 Azure VM 例項新增到域服務裡AI
- 深入Laravel服務容器Laravel
- 事件與服務容器事件
- 新漏洞凸顯公有云信任風險
- Omdia:IT 在公有云服務商方面的支出大幅增加
- EMQ X Cloud - MQTT 5.0 公有云服務正式釋出MQCloudQT
- 深入剖析 Laravel 服務容器Laravel
- Docker容器服務搭建(一)Docker
- 2.1.5 跨容器 操作
- 在容器服務中獲取客戶端真實源 IP客戶端
- Laravel 服務容器和提供器Laravel
- 「Laravel 服務容器」自己的理解Laravel
- 簡單優化容器服務優化
- Laravel原始碼解析 — 服務容器Laravel原始碼
- 存在4年!Azure應用程式服務漏洞暴露了數百個原始碼庫原始碼
- Gartner:2016年全球公有云服務市場將成長17%
- 如何將離線計算業務的成本降低65%——彈性容器服務EKS「競價例項」上線
- 微軟在Azure上推出區塊鏈即服務(BaaS)微軟區塊鏈
- 容器服務 TKE 上服務暴露的幾種方式
- Laravel 重點概念理解-服務容器Laravel
- 使用 Laravel 服務容器的優勢Laravel
- Registry 容器映象服務端細節服務端
- Postgres On Docker-窺探容器服務Docker
- Gartner 釋出容器公有云競爭格局報告 | 雲原生生態週報 Vol. 44
- 企業遷移到公有云之前的注意事項
- SHA-256加密簡單例項(客戶端、服務端)加密單例客戶端服務端
- D14 kubernetes 容器服務質量和容器環境變數變數
- 建立sshd服務容器,並使宿主機與容器免密通訊
- 阿里雲ECI如何6秒擴容3000容器例項?阿里