Microsoft警告Azure容器实例中存在跨帐户接管漏洞

微软周三表示，它修复了Azure Container Instances（ACI）服务中的一个漏洞，该漏洞可能被恶意行为人“用来访问其他客户的信息”，研究人员称之为“公共云中的第一次跨帐户容器接管”

An attacker exploiting the weakness could execute malicious commands on other users' containers, steal customer secrets and images deployed to the platform. The Windows maker did not share any additional specifics related to the flaw, save that affected customers "revoke any privileged credentials that were deployed to the platform before August 31, 2021."

Azure容器实例是一种托管服务，允许用户在无服务器云环境中直接运行Docker容器，而无需使用虚拟机、群集或编排器。

Palo Alto Networks的第42单元威胁情报团队称该漏洞为“Azurescape”，指的是攻击者如何利用跨租户技术逃离其流氓ACI容器，升级对多租户Kubernetes群集的权限，并通过执行恶意代码控制受影响的容器。

研究人员说，由于ACI（runC v1.0.0-rc2）中使用了过时的容器运行时，因此可以使用CVE-2019-5736（CVSS分数：8.6）逃离容器，并在底层主机上以提升的权限执行代码。

微软表示，它已通知部分客户，其容器与Palo Alto Networks创建的恶意容器运行在同一Kubernetes群集上，以演示攻击。据称，该集群承载了100个客户吊舱和大约120个节点，该公司表示，没有证据表明不良行为者滥用该漏洞进行了现实世界的入侵，并补充称其调查“没有发现对客户数据的未经授权访问”

这是两周内曝光的第二个与Azure相关的漏洞，第一个是一个关键的Cosmos数据库漏洞，可能被利用来授予任何Azure用户对其他客户数据库实例的完全管理员访问权限，而无需任何授权。

42单元的研究人员Ariel Zelivanky和Yuval Avrahami说：“这一发现突显了云用户需要采取‘纵深防御’的方法来保护他们的云基础设施，包括持续监控云平台内外的威胁。”。“Azurescape的发现还强调了云服务提供商需要为外部研究人员提供足够的访问权限，以研究他们的环境，搜索未知的威胁。”