dfa143e01dc3861a51584269af19b60e

微软云服务爆容器逃逸漏洞,攻击者可接管 Linux 集群

  • 浏览次数 39340
  • 喜欢 0
  • 评分 12345

dfa143e01dc3861a51584269af19b60e

安全内参6月30日消息,微软修复了旗下应用程序托管平台Service Fabric(SF)容器逃逸漏洞“FabricScape”利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SF Linux集群

微软公布的数据显示,Service Fabric是一套关键业务应用程序托管平台,目前托管的应用总数已超百万

39f7dfc8d107a82f911a9d475d281832

该平台还支持多种微软产品,包括但不限于Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business Cortana、Microsoft Power BI及其他多项核心Azure服务。

这个漏洞编号为CVE-2022-30137,由Palo Alto Networks公司的Unit 42团伙发现,并于今年1月30日报告给微软的。

该漏洞之所以出现,是因为Fabric的数据收集代理(DCA)服务组件(以root权限运行)包含竞争条件下的随意写入机制,导致恶意黑客可通过创建符号链接的方式,利用恶意内容覆盖节点文件系统中的文件,获取代码执行权限

Unit 42的报告详细介绍了CVE-2022-30137执行代码漏洞的利用方法,以及接管SF Linux集群的更多细节。

微软公司表示,“微软建议客户持续审查一切有权访问其主机集群的容器化工作负载(包括Linux与Windows)。”

“默认情况下,SF集群是单租户环境,各应用程序之间不存在隔离。但您可以在其中创建隔离,关于如何托管不受信代码的更多指南,请参阅Azure Service Fabric安全最佳实践页面。”

04c81fe085afc8560a77451026671030

图:FabricScape恶意利用流程(Unit 42)

漏洞修复花了五个月

根据Unit 42的报告,微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update,最终解决了这个漏洞(微软则表示,相关修复程序已在5月26日发布)。

微软为该漏洞发布安全公告后,从6月14日开始,已将修复程序推送至Linux集群的自动更新通道。

8049e5b9e4938f0b6d2840628ff97239

在Linux集群上启用自动更新的客户,无需采取任何额外处理措施

对于没有为Azure Service Fabric开启自动更新的用户,建议大家尽快将Linux集群升级至最新Service Fabric版本。

Palo Alto Networks公司表示,“虽然我们并未发现任何成功利用该漏洞的在野攻击,但仍然希望能敦促各组织立即采取行动,确认自身环境是否易受攻击,并迅速安装补丁。”

微软公司表示,对于尚未启用自动更新的客户,他们已经通过Azure Service Health门户发出关于此问题的安全通知

 


转自 安全内参,原文链接:https://www.secrss.com/articles/44177

封面来源于网络,如有侵权请联系删除