微軟安全漏洞 Azurescape,點出雲端用戶亟需深度防禦

作者 | 發布日期 2021 年 09 月 22 日 11:46 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


資安業者 Palo Alto Networks 今日表示,旗下威脅情報小組 Unit 42 發現首個可讓公有雲服務用戶突破自己的環境,並在屬於同一公有雲服務中的其他用戶環境中執行代碼的情況。而前所未見的跨帳戶接管影響微軟 Azure 容器即服務(CaaS)平台,研究人員將這一發現命名為 Azurescape,因為該攻擊始於容器逃逸,一種使權限提升到容器環境之外的技術。

據悉,Azurescape 允許 ACI 用戶獲得整個容器叢集的管理權。因此,用戶可以接管受影響的多租戶叢集來執行惡意代碼、竊取數據或破壞其他用戶的基礎設施;攻擊者可以完全控制託管其他用戶容器的 Azure 服務容器,接觸儲存在這些環境中的所有數據和機密。

Palo Alto Networks 指出,此一狀況點出了雲端資安亟需「深度防禦」。公有雲通常以多租戶的概念運行。雲端服務供應商在單個平台上構建託管多個組織(或「租戶」)的環境,透過構建大規模的雲端基礎設施,得以在前所未有的經濟規模下,對每個租戶提供安全訪問。

雖然雲端供應商在保護這些多租戶平台方面投入了大量資金,但長期以來,資安專家一直認為可能存在未知的「零日」漏洞,使雲端客戶面臨來自同一雲端基礎架構中其他案例的攻擊風險。

以 Azurescape 為例,這是一個三階段的攻擊。首先,駭客必須突破自己的 ACI 容器,接下來,於多租戶的 Kubernetes 叢集取得管理權限。最後,駭客將可以透過執行惡意代碼來控制受影響的容器。

Palo Alto Networks 說明,Azurescape 的發現突顯雲端用戶需要採取「深度防禦」方法來保護雲端基礎設施,包括持續監控雲平台內外的威脅,以確保控制和檢測漏洞。同時,也強調了雲端服務供應商需要為外部研究人員提供足夠的權限以研究環境,搜索未知威脅。而在將問題報告給微軟安全回應中心後,微軟也立即採取行動修復問題。

Palo Alto Networks 強調,過去幾年,快速的雲端遷移使雲端平台成為駭客的重要目標,而此次發現也意味著熟練的駭客可能不滿足於以終端用戶為目標,而是可能將攻擊活動擴展到雲端平臺本身以增加影響力和接觸面。

(首圖來源:微軟