共计 1039 个字符,预计需要花费 3 分钟才能阅读完成。
微软云服务器
研究人员揭露微软 Azure Service Fabric 服务一项漏洞,最严重可导致 Azure 丛集执行程序甚至接管丛集。
这项漏洞微软已在 6 月修补,发现该漏洞的安全厂商 Palo Alto Unit 24 研究团队于本周才说明细节。
这个漏洞影响微软微服务应用平台 Azure Service Fabric。Service Fabric 上,Azure 云端上的应用可切分成许多微服务,以便在不动到底层架构情况下独立更新、维护。微软表示,Service Fabric 已代管超过 100 万个应用程式,每日执行核心数百万。它也是 Azure 许多服务的底层,包括 Azure Service Fabric、Azure SQL Database 和 Azure CosmosDB,以及 Cortana 及 Power BI 等其他微软服务。
微软 6 月修补编号 CVE-2022-30137 的漏洞时,仅描述它是容器权限扩张漏洞,列为中度风险漏洞。
Service Fabric 是以容器执行应用程序,在每次启动容器时,Service Fabric 会在每个容器内建立具有读写权限的新 log 目录。所有 log 目录又以 Service Fabric 的数据搜集代理程序(DCA)集结以便稍后执行。为了访问所有目录,DCA 具有在所有节点以根权限执行的特权,但另一方面 DCA 处理的档案又可为容器修改,因此只要能修改这些档案,即可造成容器逃逸,并取得该节点的根执行权限。
漏洞就出在 DCA 里一个读取档案、检查内容格式及修改、覆盖档案内容的函数(GetIndex)。该函数又使用 2 个子函数负责读取(LoadFromFile)及修改文件(SaveToFile)的行为。研究人员指出,这里产生了符号连结竞争(symlink race),让进驻容器内的攻击者先加载恶意档案(或不知情的用户执行档案),在 DCA 读取及覆盖处理下,利用 DCA 根权限,以恶意档案覆盖节点档案系统中的档案。结果是用户在节点内执行恶意程序,或是攻击者接管容器甚至丛集。
不过研究人员指出,虽然这类行为可在 Linux 及 Windows 容器内观察,但开采漏洞仅能在 Linux 容器内实现,因为 Windows 容器内,没有授权的攻击者无法建立符号链接。
微软已针对 Linux 版本 Azure Service Fabric 释出更新。研究人员并未发现有任何成功开采漏洞的情形,微软建议未启动自动更新的客户应升级 Linux 集群到最新版
END
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「 安全圈」就点个三连吧!
