在我們向微軟安全響應(yīng)中心(MSRC)報(bào)告這些問題后,微軟立即采取行動(dòng)修復(fù)了這些潛在問題。我們還不知道是否已有Azurescape攻擊發(fā)生,但Azure容器實(shí)例(ACI)平臺(tái)的惡意用戶有可能利用該漏洞在其他客戶的容器上執(zhí)行代碼,而不需要事先訪問他們的環(huán)境。
Azurescape允許ACI用戶獲得對(duì)整個(gè)容器集群的管理權(quán)限。在那里,用戶可以接管受影響的多租戶集群,執(zhí)行惡意代碼,竊取數(shù)據(jù)或破壞其他客戶的底層基礎(chǔ)設(shè)施。攻擊者可以完全控制那些托管其他客戶容器的Azure服務(wù)器,訪問存儲(chǔ)在這些環(huán)境中的所有數(shù)據(jù)和保密信息。
Azurescape對(duì)云安全的警示
公有云的運(yùn)行是基于多租戶的概念。云服務(wù)提供商在單個(gè)平臺(tái)上構(gòu)建可托管多個(gè)組織機(jī)構(gòu)(或“租戶”)的環(huán)境,為每個(gè)組織機(jī)構(gòu)提供安全訪問,同時(shí)通過建立大規(guī)模云基礎(chǔ)設(shè)施,實(shí)現(xiàn)前所未有的規(guī)模經(jīng)濟(jì)。
雖然云供應(yīng)商在保護(hù)這些多租戶平臺(tái)方面投入了大量資金,但長(zhǎng)期以來,人們?nèi)匀徽J(rèn)為未知的“零日”漏洞可能存在,并使客戶面臨來自同一云基礎(chǔ)設(shè)施內(nèi)其他實(shí)例的攻擊風(fēng)險(xiǎn)。
這一發(fā)現(xiàn)強(qiáng)調(diào)了云用戶需要采取“深度防御”策略來保護(hù)云基礎(chǔ)設(shè)施,包括持續(xù)監(jiān)測(cè)云平臺(tái)內(nèi)外部威脅。Azurescape的發(fā)現(xiàn)再次強(qiáng)調(diào)了云服務(wù)提供商需要為外部研究人員提供足夠訪問權(quán)限的重要性,以研究其環(huán)境,探索未知威脅。
作為Palo Alto Networks(派拓網(wǎng)絡(luò))推進(jìn)公有云安全承諾的一部分,我們積極投資相關(guān)研究,包括對(duì)公有云平臺(tái)和相關(guān)技術(shù)進(jìn)行高級(jí)威脅建模和漏洞測(cè)試等。
微軟行業(yè)領(lǐng)先的與外部研究人員合作的項(xiàng)目將安全放在首位,并允許在整個(gè)Azure進(jìn)行外部滲透測(cè)試。我們很高興該項(xiàng)目為其他供應(yīng)商樹立了一個(gè)很好的榜樣。安全研究合作對(duì)于推動(dòng)和保護(hù)正在開發(fā)的云服務(wù),激勵(lì)創(chuàng)新至關(guān)重要。我們也要感謝MSRC給我們的獎(jiǎng)勵(lì)。
Azurescape問題解答
要深入了解我們是如何發(fā)現(xiàn)Azurescape的,建議您閱讀Unit 42博客的完整報(bào)告,尋找Azurescape - Azure容器實(shí)例中的跨賬戶容器接管。以下是一些關(guān)于Azurescape工作原理以及受攻擊后的應(yīng)對(duì)建議:
我受到攻擊了嗎?
我們不清楚現(xiàn)實(shí)中是否已有Azurescape攻擊發(fā)生。該漏洞可能從ACI成立之初就存在,因此有些組織可能已遭受攻擊。Azurescape還攻擊了Azure虛擬網(wǎng)絡(luò)中的ACI容器。
ACI建立在托管客戶容器的多租戶集群上。最初這些是Kubernetes集群,但在過去一年,微軟也開始在Service Fabric集群上托管ACI。Azurescape只影響在Kubernetes上運(yùn)行的ACI。我們不知道如何檢查過去的ACI容器是否在Kubernetes上運(yùn)行。如果您有一個(gè)現(xiàn)有容器,您可以運(yùn)行以下命令來檢查它是否運(yùn)行在Kubernetes上:
- az container exec -n --exec-command "hostname"
- 如果輸出以wk-caas開頭,并且該容器在2021年8月31日之前開始運(yùn)行,那么它可能已經(jīng)受到Azuresape攻擊。
- 如果我認(rèn)為自己受到攻擊,該如何應(yīng)對(duì)?
- 如果您在平臺(tái)上部署了特權(quán)憑證,我們建議輪換它們,并檢查其訪問日志是否有可疑活動(dòng)。
- 像Prisma Cloud這樣的云原生安全平臺(tái)可以提供對(duì)此類活動(dòng)的可視性,并在適當(dāng)時(shí)候發(fā)出警報(bào)。
攻擊是如何進(jìn)行的?
Azurescape采用一種三步式攻擊。首先,攻擊者必須突破其ACI容器。其次,他們獲得對(duì)多租戶Kubernetes集群的管理權(quán)限。第三,他們可以通過執(zhí)行惡意代碼來控制被攻擊容器。
我們的研究從容器映像WhoC開始,它可以揭開云平臺(tái)的底層容器運(yùn)行時(shí)。通過WhoC,我們發(fā)現(xiàn)可以通過CVE-2019-5736(runC中存在兩年的漏洞)逃離ACI容器。然后,我們能夠確定兩種不同的方法來獲得集群大腦上的代碼執(zhí)行,即api-server。
通過在api-server上執(zhí)行代碼,我們可以完全控制多租戶集群。我們可以在客戶容器上執(zhí)行代碼,竊取部署在ACI的客戶機(jī)密,甚至可以濫用平臺(tái)基礎(chǔ)設(shè)施進(jìn)行加密挖礦。
您認(rèn)為會(huì)出現(xiàn)更多跨賬戶接管漏洞嗎?
在過去幾年,向云計(jì)算的快速遷移讓這些平臺(tái)成為惡意攻擊者的首選目標(biāo)。雖然我們長(zhǎng)期以來一直專注于識(shí)別新的云威脅,而首次發(fā)現(xiàn)跨賬戶容器接管強(qiáng)調(diào)了這項(xiàng)工作的重要性。經(jīng)驗(yàn)豐富的攻擊者可能不滿足于針對(duì)終端用戶,而是將攻擊活動(dòng)擴(kuò)展到平臺(tái)本身,以擴(kuò)大影響和范圍。
有什么辦法可以讓我為可能出現(xiàn)的類似漏洞做好準(zhǔn)備?
我們鼓勵(lì)云用戶采取“深度防御”策略來實(shí)現(xiàn)云安全,以確保漏洞得到控制和檢測(cè),無論威脅來自外部還是來自平臺(tái)本身。安全左移、運(yùn)行時(shí)保護(hù)以及異常檢測(cè)的組合,為打擊類似的跨賬戶攻擊提供了最佳機(jī)會(huì)。
防止任何云環(huán)境受到攻擊的最好方法是實(shí)施一個(gè)全面的云原生安全平臺(tái),如Prisma Cloud,它能夠檢測(cè)和緩解惡意行為,并識(shí)別云環(huán)境中的漏洞。了解Prisma Cloud如何在混合和多云環(huán)境中保護(hù)基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)。
如需了解更多關(guān)于Azurescape的信息,請(qǐng)參加由Ariel Zelivansky及Yuval Avrahami主持的網(wǎng)絡(luò)研討會(huì), Azurescape:關(guān)于微軟的ACI漏洞需要了解哪些內(nèi)容。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會(huì),改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們?cè)谌斯ぶ悄、分析、自?dòng)化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應(yīng)對(duì)全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長(zhǎng),我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。更多內(nèi)容,敬請(qǐng)登錄Palo Alto Networks(派拓網(wǎng)絡(luò))官網(wǎng)www.paloaltonetworks.com 或中文網(wǎng)站www.paloaltonetworks.cn 。