微软 Azure FabricScape 漏洞可被用于劫持 Linux 集群
编译:代码卫士
微软修复了 Service Fabric (SF) 应用托管平台上的一个容器逃逸漏洞 FabricScape,它可导致威胁行动者将权限提升至root,控制主机节点并攻陷整个 SF Linux 集群。
SF 是业务关键应用平台,托管了100多万款应用,同时还为很多微软产品提供动力,包括但不限于 Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business、Cortana、Microsoft Power BI以及很多核心 Azure 服务。
该缺陷的编号为CVE-2022-30137,是由Palo Alto Networks 公司 Unit 42 团队的研究员发现的,他们还在1月30日将漏洞告知微软。该漏洞是因为Data Collection Agent (DCA) Service Fabric 组件中的条件竞争任意写造成的,可导致攻击者创建符号链接获得代码执行权限,以恶意内容覆写节点文件系统中的文件。
微软建议称,“微软推荐用户继续检查所有的可访问主机集群的容器化工作负载(Linux 和 Windows)。在默认情况下,SF集群是一个单租户环境,因此应用程序之间并无隔离。可通过 Azure Service Fabric 安全最佳实践页面创建隔离以及关于托管不受信任代码的其它指南。”
微软在6月14日发布微软 Azure Service Fabric 9.0 累积更新,修复了该漏洞。从6月14日开始,修复方案已自动推送至 Linux 集群。在 Linux 集群上启用了自动更新的客户无需采取其它措施。
不过,建议未安装自动更新的 Azure Service Fabric 的用户,尽快将 Linux 集群更新至 Service Fabric 发布的最新版本。
研究人员表示,“虽然我们并未发现在野攻击迹象,但仍然督促组织机构立即行动起来,判断环境是否易受攻击并且如果遭攻击则快速打补丁。”
微软表示,已通过 Zure Service Health 发送门户通知,将自动更新推送给尚未启用自动更新的客户。
价值4万美元的微软Azure漏洞 ExtraReplica,没有CVE编号
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
微软修复严重的Azure漏洞,可用于泄露客户数据
微软 Azure App Service 漏洞 NotLegit已存在4年,客户源代码被暴露
微软在 Linux 虚拟机偷偷安装Azure App,后修复严重漏洞但Linux虚拟机难以修复
https://www.bleepingcomputer.com/news/security/microsoft-azure-fabricscape-bug-let-hackers-hijack-linux-clusters/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。