微软云服务器
研究人员揭露微软Azure Service Fabric服务一项漏洞,最严重可导致Azure丛集执行程序甚至接管丛集。
这项漏洞微软已在6月修补,发现该漏洞的安全厂商Palo Alto Unit 24研究团队于本周才说明细节。
这个漏洞影响微软微服务应用平台Azure Service Fabric。Service Fabric上,Azure云端上的应用可切分成许多微服务,以便在不动到底层架构情况下独立更新、维护。微软表示,Service Fabric已代管超过100万个应用程式,每日执行核心数百万。它也是Azure许多服务的底层,包括Azure Service Fabric、Azure SQL Database和Azure CosmosDB,以及Cortana及Power BI等其他微软服务。
微软6月修补编号CVE-2022-30137的漏洞时,仅描述它是容器权限扩张漏洞,列为中度风险漏洞。
Service Fabric是以容器执行应用程序,在每次启动容器时,Service Fabric 会在每个容器内建立具有读写权限的新log目录。所有log目录又以Service Fabric的数据搜集代理程序(DCA)集结以便稍后执行。为了访问所有目录,DCA具有在所有节点以根权限执行的特权,但另一方面DCA处理的档案又可为容器修改,因此只要能修改这些档案,即可造成容器逃逸,并取得该节点的根执行权限。
漏洞就出在DCA里一个读取档案、检查内容格式及修改、覆盖档案内容的函数(GetIndex)。该函数又使用2个子函数负责读取(LoadFromFile)及修改文件(SaveToFile)的行为。研究人员指出,这里产生了符号连结竞争(symlink race),让进驻容器内的攻击者先加载恶意档案(或不知情的用户执行档案),在DCA读取及覆盖处理下,利用DCA根权限,以恶意档案覆盖节点档案系统中的档案。结果是用户在节点内执行恶意程序,或是攻击者接管容器甚至丛集。
不过研究人员指出,虽然这类行为可在Linux及Windows容器内观察,但开采漏洞仅能在Linux容器内实现,因为Windows容器内,没有授权的攻击者无法建立符号链接。
微软已针对Linux版本Azure Service Fabric释出更新。研究人员并未发现有任何成功开采漏洞的情形,微软建议未启动自动更新的客户应升级Linux 集群到最新版
END
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!