Unit 42威胁情报团队最近首次发现了一个新的漏洞,这将导致公共云服务的用户脱离其环境,并在同一公共云服务的其他用户环境中执行代码。这种前所未有的跨账户接管影响了微软Azure容器即服务(CaaS)平台。由于攻击始于容器逃逸,研究人员将这一发现命名为Azurescape,这是一种可以从容器环境中升级权限的技术。
在微软安全响应中心(MSRC)在报告了这些问题后,微软立即采取行动来修复这些潜在问题。我们不知道是否已经存在了Azurescape攻击发生,但Azure容器实例(ACI)该平台的恶意用户可以利用该漏洞在其他客户的容器上执行代码,而无需事先访问其环境。
Azurescape允许ACI用户有权管理整个容器集群。在那里,用户可以接管受影响的多租户集群,执行恶意代码,窃取数据或破坏其他客户的基础设施。攻击者可以完全控制托管其他客户容器的人Azure访问这些环境中存储的所有数据和保密信息。
Azurescape云安全警示
公共云的运行是基于多租户的概念。云服务提供商在单个平台上建立多个组织(或“租户”)通过建立大型云基础设施,实现前所未有的规模经济,为各组织提供安全访问。
虽然云供应商在保护这些多租户平台上投入了大量资金,但长期以来,人们仍然认为这是未知的“零日”可能存在漏洞,使客户面临来自同一云基础设施的其他实例的攻击风险。
这一发现强调了云用户的需求“深度防御”保护云基础设施的策略,包括对云平台内外部威胁的持续监控。Azurescape为了研究其环境,探索未知威胁,云服务提供商需要为外部研究人员提供足够的访问权。
作为Palo Alto Networks我们积极投资相关研究,包括对公共云平台及相关技术进行高级威胁建模和漏洞测试。
与外部研究人员合作的微软行业领先项目将安全放在首位,允许整个项目Azure进行外部渗透测试。我们很高兴该项目为其他供应商树立了良好的榜样。激励和创新对于促进和保护正在开发的云服务至关重要。我们也要感谢MSRC奖励我们。
Azurescape问题解答
深入了解我们是如何发现的Azurescape是的,建议你阅读Unit 博客完整报告,“寻找Azurescape - Azure容器实例中的跨账户容器接管”。以下是一些关于Azurescape攻击后的工作原理和应对建议:
我被攻击了吗?
我们不知道现实中是否存在Azurescape攻击发生了。这个漏洞可能来自ACI一开始就存在,所以有些组织可能已经受到了攻击。Azurescape还攻击了Azure在虚拟网络中ACI容器。
ACI基于托管客户容器的多租户集群。最初,这些是Kubernetes但在过去的一年里,微软也开始集群Service Fabric集群上托管ACI。Azurescape只影响在Kubernetes上运行的ACI。我们不知道如何检查过去ACI容器是否在Kubernetes上操作。如果您有一个现有的容器,您可以操作以下命令来检查它是否在运行Kubernetes上:
az container exec -n <container-name> --exec-command "hostname"
如果输出以wk-caas并且容器在2021年8月31日前开始运行,那么它可能已经被接受了Azuresape攻击。
假如我觉得自己被攻击了,该怎么办?
如果您在平台上部署了特权凭证,我们建议轮换它们,检查它们的访问日志是否可疑。
像Prisma Cloud这种云原生安全平台可以提供此类活动的可视性,并在适当的时候发出警报。
攻击是如何进行的?
Azurescape三步攻击。首先,攻击者必须突破它ACI容器。其次,他们得到了多租户Kubernetes集群管理权限。第三,他们可以通过执行恶意代码来控制攻击容器。
我们从容器图像的研究WhoC一开始,当云平台的底层容器运行时,它揭开。WhoC,我们发现可以通过CVE-2019-5736(runC有两年的漏洞)逃离ACI集群大脑上的代码执行有两种不同的方法,即容器。api-server。
通过在api-server在执行代码上,我们可以完全控制多租户群。我们可以在客户容器上执行代码,窃取和部署代码ACI客户机密,甚至可以滥用平台基础设施进行加密挖掘。
你认为会有更多的跨账户接管漏洞吗?
在过去的几年里,云计算的快速转移使这些平台成为恶意攻击者的首选。虽然我们长期以来一直专注于识别新的云威胁,但首次发现跨账户容器接管强调了这项工作的重要性。经验丰富的攻击者可能不满足于终端用户,而是将攻击活动扩展到平台本身,以扩大其影响力和范围。
有什么出现的类似漏洞做准备的方法是什么?
鼓励云用户采用“深度防御”无论是来自外部还是来自平台本身,策略都可以实现云安全,以确保漏洞的控制和检测。安全左移、运行保护和异常检测的结合为打击类似的跨账户攻击提供了最佳机会。
防止任何云环境受到攻击的最好方法是实施一个全面的云原生安全平台,如Prisma Cloud,它能检测和缓解恶意行为,识别云环境中的漏洞。Prisma Cloud如何在混合和多云环境中保护基础设施、应用和数据。
如果了解更多信息Azurescape请参与信息Ariel Zelivansky及Yuval Avrahami主持网络研讨会,“Azurescape:关于微软的ACI漏洞需要知道什么内容?”。