Palo Alto Networks（派拓網(wǎng)絡(luò )）首次發(fā)現Azurescape漏洞

Unit 42威脅情報團隊日前首次發(fā)現一個(gè)新漏洞，它會(huì )導致公有云服務(wù)的某個(gè)用戶(hù)脫離其環(huán)境，并在屬于同一公有云服務(wù)的其他用戶(hù)環(huán)境中執行代碼。這一史無(wú)前例的跨賬戶(hù)接管影響了微軟的Azure容器即服務(wù)（CaaS）平臺。由于該攻擊是從容器逃逸開(kāi)始的，因此研究人員將這一發(fā)現命名為Azurescape，這是一種能夠從容器環(huán)境中升級權限的技術(shù)。

在我們向微軟安全響應中心（MSRC）報告這些問(wèn)題后，微軟立即采取行動(dòng)修復了這些潛在問(wèn)題。我們還不知道是否已有Azurescape攻擊發(fā)生，但Azure容器實(shí)例（ACI）平臺的惡意用戶(hù)有可能利用該漏洞在其他客戶(hù)的容器上執行代碼，而不需要事先訪(fǎng)問(wèn)他們的環(huán)境。

Azurescape允許ACI用戶(hù)獲得對整個(gè)容器集群的管理權限。在那里，用戶(hù)可以接管受影響的多租戶(hù)集群，執行惡意代碼，竊取數據或破壞其他客戶(hù)的底層基礎設施。攻擊者可以完全控制那些托管其他客戶(hù)容器的Azure服務(wù)器，訪(fǎng)問(wèn)存儲在這些環(huán)境中的所有數據和保密信息。

Azurescape對云安全的警示

公有云的運行是基于多租戶(hù)的概念。云服務(wù)提供商在單個(gè)平臺上構建可托管多個(gè)組織機構（或“租戶(hù)”）的環(huán)境，為每個(gè)組織機構提供安全訪(fǎng)問(wèn)，同時(shí)通過(guò)建立大規模云基礎設施，實(shí)現前所未有的規模經(jīng)濟。

雖然云供應商在保護這些多租戶(hù)平臺方面投入了大量資金，但長(cháng)期以來(lái)，人們仍然認為未知的“零日”漏洞可能存在，并使客戶(hù)面臨來(lái)自同一云基礎設施內其他實(shí)例的攻擊風(fēng)險。

這一發(fā)現強調了云用戶(hù)需要采取“深度防御”策略來(lái)保護云基礎設施，包括持續監測云平臺內外部威脅。Azurescape的發(fā)現再次強調了云服務(wù)提供商需要為外部研究人員提供足夠訪(fǎng)問(wèn)權限的重要性，以研究其環(huán)境，探索未知威脅。

作為Palo Alto Networks（派拓網(wǎng)絡(luò )）推進(jìn)公有云安全承諾的一部分，我們積極投資相關(guān)研究，包括對公有云平臺和相關(guān)技術(shù)進(jìn)行高級威脅建模和漏洞測試等。

微軟行業(yè)領(lǐng)先的與外部研究人員合作的項目將安全放在首位，并允許在整個(gè)Azure進(jìn)行外部滲透測試。我們很高興該項目為其他供應商樹(shù)立了一個(gè)很好的榜樣。安全研究合作對于推動(dòng)和保護正在開(kāi)發(fā)的云服務(wù)，激勵創(chuàng )新至關(guān)重要。我們也要感謝MSRC給我們的獎勵。

Azurescape問(wèn)題解答

要深入了解我們是如何發(fā)現Azurescape的，建議您閱讀Unit 42博客的完整報告，“尋找Azurescape - Azure容器實(shí)例中的跨賬戶(hù)容器接管”。以下是一些關(guān)于A(yíng)zurescape工作原理以及受攻擊后的應對建議：

我受到攻擊了嗎？

我們不清楚現實(shí)中是否已有Azurescape攻擊發(fā)生。該漏洞可能從ACI成立之初就存在，因此有些組織可能已遭受攻擊。Azurescape還攻擊了Azure虛擬網(wǎng)絡(luò )中的ACI容器。

ACI建立在托管客戶(hù)容器的多租戶(hù)集群上。最初這些是Kubernetes集群，但在過(guò)去一年，微軟也開(kāi)始在Service Fabric集群上托管ACI。Azurescape只影響在Kubernetes上運行的ACI。我們不知道如何檢查過(guò)去的ACI容器是否在Kubernetes上運行。如果您有一個(gè)現有容器，您可以運行以下命令來(lái)檢查它是否運行在Kubernetes上：

az container exec -n <container-name> --exec-command "hostname"

如果輸出以wk-caas開(kāi)頭，并且該容器在2021年8月31日之前開(kāi)始運行，那么它可能已經(jīng)受到Azuresape攻擊。

如果我認為自己受到攻擊，該如何應對？

如果您在平臺上部署了特權憑證，我們建議輪換它們，并檢查其訪(fǎng)問(wèn)日志是否有可疑活動(dòng)。

像Prisma Cloud這樣的云原生安全平臺可以提供對此類(lèi)活動(dòng)的可視性，并在適當時(shí)候發(fā)出警報。

攻擊是如何進(jìn)行的？

Azurescape采用一種三步式攻擊。首先，攻擊者必須突破其ACI容器。其次，他們獲得對多租戶(hù)Kubernetes集群的管理權限。第三，他們可以通過(guò)執行惡意代碼來(lái)控制被攻擊容器。

我們的研究從容器映像WhoC開(kāi)始，它可以揭開(kāi)云平臺的底層容器運行時(shí)。通過(guò)WhoC，我們發(fā)現可以通過(guò)CVE-2019-5736（runC中存在兩年的漏洞）逃離ACI容器。然后，我們能夠確定兩種不同的方法來(lái)獲得集群大腦上的代碼執行，即api-server。

通過(guò)在api-server上執行代碼，我們可以完全控制多租戶(hù)集群。我們可以在客戶(hù)容器上執行代碼，竊取部署在A(yíng)CI的客戶(hù)機密，甚至可以濫用平臺基礎設施進(jìn)行加密挖礦。

您認為會(huì )出現更多跨賬戶(hù)接管漏洞嗎？

在過(guò)去幾年，向云計算的快速遷移讓這些平臺成為惡意攻擊者的首選目標。雖然我們長(cháng)期以來(lái)一直專(zhuān)注于識別新的云威脅，而首次發(fā)現跨賬戶(hù)容器接管強調了這項工作的重要性。經(jīng)驗豐富的攻擊者可能不滿(mǎn)足于針對終端用戶(hù)，而是將攻擊活動(dòng)擴展到平臺本身，以擴大影響和范圍。

有什么辦法可以讓我為可能出現的類(lèi)似漏洞做好準備？

我們鼓勵云用戶(hù)采取“深度防御”策略來(lái)實(shí)現云安全，以確保漏洞得到控制和檢測，無(wú)論威脅來(lái)自外部還是來(lái)自平臺本身。安全左移、運行時(shí)保護以及異常檢測的組合，為打擊類(lèi)似的跨賬戶(hù)攻擊提供了最佳機會(huì )。

防止任何云環(huán)境受到攻擊的最好方法是實(shí)施一個(gè)全面的云原生安全平臺，如Prisma Cloud，它能夠檢測和緩解惡意行為，并識別云環(huán)境中的漏洞。了解Prisma Cloud如何在混合和多云環(huán)境中保護基礎設施、應用和數據。