Unit 42威逼谍报团队日前初次发明一个新马脚,它会导致公有云办事的某个用户离开其情况,并在属于同一公有云办事的其他用户情况中履行代码。这一史无前例的跨账户接收影响了微软的Azure容器即办事(CaaS)平台。因为该进击是安闲器逃逸开端的,是以研究人员将这一发明定名为Azurescape,这是一种可以或许安闲器情况中进级权限的技巧。
在我们向微软安然响应中间(MSRC)申报这些问题后,微软急速采取行动修复了这些潜在问题。我们还不知道是否已有Azurescape进击产生,但Azure容器实例(ACI)平台的恶意用户有可能应用该马脚在其他客户的容器上履行代码,而不须要事先拜访他们的情况。
Azurescape许可ACI用户获得对全部容器集群的治理权限。在那边,用户可以接收受影响的多租户集群,履行恶意代码,窃取数据或破坏其他客户的底层基本举措措施。进击者可以完全控制那些托管其他客户容器的Azure办事器,拜访存储在这些情况中的所稀有据和保密信息。
Azurescape对云安然的警示
公有云的运行是基于多租户的概念。云办事供给商在单个平台上构建可托管多个组织机构(或“租户”)的情况,为每个组织机构供给安然拜访,同时经由过程建立大年夜范围云基本举措措施,实现前所未有的范围经济。
固然云供给商在保护这些多租户平台方面投入了大年夜量资金,但经久以来,人们仍然认为未知的“零日”马脚可能存在,并使客户面对来自同一云基本举措措施内其他实例的进击风险。
这一发明强调了云用户须要采取“深度防御”策略来保护云基本举措措施,包含持续监测云平台表里部威逼。Azurescape的发明再次强调了云办事供给商须要为外部研究人员供给足够拜访权限的重要性,以研究其情况,摸索未知威逼。
作为Palo Alto Networks(派拓收集)推动公有云安然承诺的一部分,我们积极投资相干研究,包含对公有云平台和相干技巧进行高等威逼建模和马脚测试等。
微软行业领先的与外部研究人员合作的项目将安然顿在首位,并许可在全部Azure进行外部渗入渗出测试。我们很高兴该项目为其他供给商建立了一个很好的榜样。安然研究合尴尬刁难于推动和保护正在开辟的云办事,鼓励立异至关重要。我们也要感激MSRC给我们的嘉奖。
Azurescape问题解答
要深刻懂得我们是若何发明Azurescape的,建议您浏览Unit 42博客的完全申报,“寻找Azurescape - Azure容器实例中的跨账户容器接收”。以下是一些关于Azurescape工作道理以及受进击后的应对建议:
我受到进击了吗?
我们不清楚实际中是否已有Azurescape进击产生。该马脚可能从ACI成立之初就存在,是以有些组织可能已遭受进击。Azurescape还进击了Azure虚拟收集中的ACI容器。
ACI建立在托管客户容器的多租户集群上。最初这些是Kubernetes集群,但在以前一年,微软也开端在Service Fabric集群上托管ACI。Azurescape只影响在Kubernetes上运行的ACI。我们不知道若何检查以前的ACI容器是否在Kubernetes上运行。假如您有一个现有容器,您可以运行以下敕令来检查它是否运行在Kubernetes上:
az container exec -n 《container-name》 --exec-command “hostname”
假如输出以wk-caas开首,并且该容器在2021年8月31日之前开端运行,那么它可能已经受到Azuresape进击。
假如我认为本身受到进击,该若何应对?
假如您在平台上安排了特权凭证,我们建议轮换它们,并检查其拜访日记是否有可疑活动。
像Prisma Cloud如许的云原生安然平台可以供给对此类活动的可视性,并在恰当时刻发出警报。
进击是若何进行的?
Azurescape采取一种三步式进击。起首,进击者必须冲破其ACI容器。其次,他们获得对多租户Kubernetes集群的治理权限。第三,他们可以经由过程履行恶意代码来控制被进击容器。
我们的研究安闲器映像WhoC开端,它可以揭开云平台的底层容器运行时。经由过程WhoC,我们发明可以经由过程CVE-2019-5736(runC中存在两年的马脚)逃离ACI容器。然后,我们可以或许肯定两种不合的办法来获得集群大年夜脑上的代码履行,即api-server。
经由过程在api-server上履行代码,我们可以完全控制多租户集群。我们可以在客户容器上履行代码,窃取安排在ACI的客户机密,甚至可以滥用平台基本举措措施进行加密挖矿。
您认为会出现更多跨账户接收马脚吗?
在以前几年,向云计算的快速迁徙让这些平台成为恶意进击者的首选目标。固然我们经久以来一向专注于辨认新的云威逼,而初次发明跨账户容器接收强调了这项工作的重要性。经验丰富的进击者可能不知足于针对终端用户,而是将进击活动扩大到平台本身,以扩大年夜影响和范围。
有什么办法可以让我为可能出现的类似马脚做好预备?
我们鼓励云用户采取“深度防御”策略来实现云安然,以确保马脚获得控制和检测,无论威逼来自外部照样来自平台本身。安然左移、运行时保护以及异常检测的组合,为袭击类似的跨账户进击供给了最佳机会。
防止任何云情况受到进击的最好办法是实施一个周全的云原生安然平台,如Prisma Cloud,它可以或许检测懈弛解恶意行动,并辨认云情况中的马脚。懂得Prisma Cloud如安在混淆和多云情况中保护基本举措措施、应用和数据。
