公有云首次跨賬戶容器接管 微軟警告Azure容器例項服務存在漏洞
微軟上週三表示,它修復了Azure容器例項(ACI)服務中的一個漏洞,該漏洞可能被惡意行為者用來“訪問其他客戶的資訊”,研究人員稱這是“公共雲中的首次跨賬戶容器接管”。
利用這一漏洞,攻擊者可以對其他使用者的容器執行惡意命令,竊取部署到平臺上的客戶機密和影像。Windows製造商沒有透露任何與該漏洞相關的額外細節,只是受影響的客戶“撤銷在2021年8月31日之前部署到該平臺的任何特權憑證”。
Azure Container Instances是一個託管服務,允許使用者在無伺服器的雲環境中直接執行Docker容器,而不需要使用虛擬機器、叢集或協調器。
Palo Alto Networks的Unit 42威脅情報團隊將該漏洞稱為“azuresescape”,指的是攻擊者如何利用跨租戶技術逃離他們的惡意ACI容器,在多租戶Kubernetes叢集上升級特權,並透過執行惡意程式碼控制受影響的容器。
研究人員表示,由於在ACI (runC v1.0.0-rc2)中使用了過時的容器執行時,因此可以利用CVE-2019-5736 (CVSS評分:8.6)逃離容器,並在底層主機上以更高的許可權執行程式碼。
微軟表示,已通知部分客戶使用執行在與Palo Alto Networks建立的惡意容器相同的Kubernetes叢集上的容器進行攻擊。據稱,該叢集託管了100個客戶豆莢和大約120個節點,該公司表示,沒有證據表明惡意行為者濫用該漏洞實施了現實世界的入侵,並補充稱,其調查“顯示沒有未經授權訪問客戶資料”。
這是兩週內曝光的第二個與Azure相關的缺陷,第一個是一個關鍵的Cosmos資料庫缺陷,該缺陷可能被利用來允許任何Azure使用者在沒有任何授權的情況下對其他客戶的資料庫例項進行完全的管理訪問。
Unit 42研究人員稱:“這一發現強調了雲使用者需要採取一種‘深度防禦’的方法來保護他們的雲基礎設施,包括對雲平臺內外的威脅進行持續監控。”“Azurescape的發現也強調了雲服務提供商為外部研究人員提供充分訪問的必要性,以研究他們的環境,搜尋未知的威脅。”
大多數針對雲環境的惡意軟體都專注於執行惡意程式碼並完全控制裝置、加密劫持和濫用受感染的系統發起DDoS攻擊,它們透過避免任何可能向受威脅叢集的所有者發出攻擊警報的行為(包括加密劫持),來儘量逃避檢測。透過接管容器,進而為進行更廣泛的惡意活動提供基礎,包括竊取憑證、資料洩露、勒索軟體攻擊,甚至是災難性的供應鏈攻擊。
縱觀所有惡意軟體的攻擊方式,絕大多數利用了系統安全漏洞實施網路攻擊,從而影響應用程式及整個網路環境。因此降低系統漏洞數量可以有效減少網路受到攻擊的機會。資料顯示,系統漏洞大多是在開發階段由程式碼缺陷造成,在網路安全日益嚴峻的今天,在軟體開發早期實時進行 原始碼安全檢測查詢程式碼缺陷並修復,可有效降低軟體在上線後由安全漏洞帶來的風險,規避網路攻擊帶來的負面影響。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2791741/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 雲容器例項服務入門必讀
- Azure DevOps 跨賬號連線 Azure 服務dev
- Laravel 服務容器、服務提供器、契約例項講解Laravel
- Laravel服務容器Laravel
- 公有云專線直連服務-ElinkcloudCloud
- 事件與服務容器事件
- 深入Laravel服務容器Laravel
- 微軟Azure Container Service的容器化應用微軟AI
- EMQ X Cloud - MQTT 5.0 公有云服務正式釋出MQCloudQT
- Omdia:IT 在公有云服務商方面的支出大幅增加
- 深入剖析 Laravel 服務容器Laravel
- Docker容器服務搭建(一)Docker
- Docker容器配置Nginx例項分享DockerNginx
- Azure AD Domain Service(一)將 Azure VM 例項新增到域服務裡AI
- 「Laravel 服務容器」自己的理解Laravel
- 簡單優化容器服務優化
- Laravel原始碼解析 — 服務容器Laravel原始碼
- Laravel 服務容器和提供器Laravel
- Laravel 服務容器實現原理Laravel
- 在容器服務中獲取客戶端真實源 IP客戶端
- Docker 釋出新的跨容器的分散式應用編排服務Docker分散式
- 容器監控—阿里雲&容器內部服務監控阿里
- 2.1.5 跨容器 操作
- 存在4年!Azure應用程式服務漏洞暴露了數百個原始碼庫原始碼
- Postgres On Docker-窺探容器服務Docker
- Laravel 重點概念理解-服務容器Laravel
- Registry 容器映象服務端細節服務端
- 使用 Laravel 服務容器的優勢Laravel
- 微信小程式遇見容器服務微信小程式
- 開源力量公開課第37期-《微軟+開源:如何使用微軟公有云Azure上的開源軟體》微軟
- windows 服務例項Windows
- Gartner 釋出容器公有云競爭格局報告 | 雲原生生態週報 Vol. 44
- 建立sshd服務容器,並使宿主機與容器免密通訊
- Symfony 服務容器:使用 XML 或 YAML 檔案描述服務XMLYAML
- 服務容器(自己總結)依賴注入依賴注入
- Laravel核心——服務容器的細節特性Laravel
- 詳解華為雲基因容器服務GCSGC
- OpenStack容器服務Zun初探與原理分析