Microsoft dijo el miércoles que había corregido una vulnerabilidad en sus servicios Azure Container Instances (ACI) que podría ser explotada por un actor insidioso «para acceder a la información de otros clientes» en lo que los investigadores describieron como «la primera adquisición de un contenedor entre cuentas». en una nube pública.» «
Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar comandos maliciosos en los contenedores de otros usuarios, robar los secretos de los clientes e implementar imágenes en la plataforma. Windows no reveló ningún otro detalle relacionado con el error, aparte de que los clientes afectados «revocaron todas las credenciales privilegiadas que se implementaron en la plataforma antes del 31 de agosto de 2021».
Azure Container Instances es un servicio administrado que permite a los usuarios ejecutar contenedores Docker directamente en un entorno de servidor sin nube sin necesidad de máquinas virtuales, clústeres u orquestadores.
El equipo de análisis de amenazas de la Unidad 42 de Palo Alto Networks denominó la vulnerabilidad «Azurescape», refiriéndose a cómo un atacante podría usar la tecnología de inquilinos para escapar de un contenedor ACI no autorizado, aumentar los privilegios en un clúster de Kubernetes de múltiples inquilinos y tomar el control de los contenedores afectados. . . ejecutando código malicioso.
El desglose del contenedor, dijeron los investigadores, fue posible gracias al entorno de tiempo de ejecución del contenedor obsoleto utilizado por ACI (runC v1.0.0-rc2), que hizo posible usar CVE-2019-5736 (puntaje CVSS: 8.6) para escapar. contenedor y obtenga una ejecución de código elevada en el host base.
Microsoft dijo que advirtió a clientes seleccionados con contenedores que se ejecutan en el mismo clúster de Kubernetes que el contenedor malicioso creado por Palo Alto Networks para demostrar el ataque. Según los informes, el clúster albergaba 100 módulos de clientes y alrededor de 120 nodos, y dijo que la compañía no tenía evidencia de que los malos jugadores se hubieran aprovechado del error para realizar intrusiones reales, y agregó que su investigación «no reveló ningún acceso no autorizado a los datos de los clientes».
El lanzamiento es el segundo error relacionado con Azure que ocurrió en dos semanas, siendo el primero un error crítico en la base de datos de Cosmos que podría explotarse para otorgar acceso completo de administrador a las instancias de la base de datos de otros clientes a cualquier usuario de Azure sin autorización.
«Este descubrimiento destaca que los usuarios de la nube necesitan un enfoque de ‘protección profunda’ para asegurar su infraestructura en la nube, que incluye el monitoreo continuo de amenazas, dentro y fuera de la plataforma en la nube», dijeron los investigadores de la Unidad 42, Ariel Zelivanky y Yuval Avrahami. «El descubrimiento de Azurescape también subraya la necesidad de que los proveedores de servicios en la nube brinden a los investigadores externos un acceso adecuado para estudiar su entorno e identificar amenazas desconocidas».
