Microsoft dijo el miércoles que remediaba una vulnerabilidad en sus servicios de Azure Container Instances ( ACI ) que podría haber sido explotada por un actor malintencionado «para acceder a la información de otros clientes» en lo que el investigador describió como la «primera toma de control de contenedores entre cuentas en el nube pública «.
Un atacante que aproveche la debilidad podría ejecutar comandos maliciosos en los contenedores de otros usuarios, robar secretos de clientes e imágenes implementadas en la plataforma. El fabricante de Windows no compartió detalles adicionales relacionados con la falla, salvo que los clientes afectados «revocan cualquier credencial privilegiada que se implementó en la plataforma antes del 31 de agosto de 2021».
Azure Container Instances es un servicio administrado que permite a los usuarios ejecutar contenedores Docker directamente en un entorno de nube sin servidor, sin requerir el uso de máquinas virtuales, clústeres u orquestadores.
El equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks denominó la vulnerabilidad » Azurescape » , refiriéndose a cómo un atacante puede aprovechar la técnica entre inquilinos para escapar de su contenedor ACI malicioso, escalar privilegios sobre un clúster de Kubernetes de múltiples inquilinos y tomar el control de los contenedores afectados por ejecutando código malicioso.
La ruptura del contenedor, dijeron los investigadores, fue posible debido a un tiempo de ejecución de contenedor desactualizado utilizado en ACI ( runC v1.0.0-rc2), lo que hace posible explotar CVE-2019-5736 (puntuación CVSS: 8,6) para escapar. el contenedor y obtener la ejecución de código con privilegios elevados en el host subyacente.
Microsoft dijo que notificó a clientes seleccionados con contenedores que se ejecutan en el mismo clúster de Kubernetes que el contenedor malicioso creado por Palo Alto Networks para demostrar el ataque. Se dice que el clúster alojó 100 pods de clientes y alrededor de 120 nodos, y la compañía declaró que no tenía evidencia de que los malos actores hubieran abusado de la falla para llevar a cabo intrusiones en el mundo real, y agregó que su investigación «no reveló ningún acceso no autorizado a los datos de los clientes».
La divulgación es la segunda falla relacionada con Azure que sale a la luz en un lapso de dos semanas, la primera es una falla crítica de la base de datos de Cosmos que podría haber sido potencialmente explotada para otorgar a cualquier usuario de Azure acceso de administrador completo a las instancias de la base de datos de otros clientes sin cualquier autorización.
«Este descubrimiento destaca la necesidad de que los usuarios de la nube adopten un enfoque de ‘defensa en profundidad’ para asegurar su infraestructura en la nube que incluye un monitoreo continuo de amenazas, dentro y fuera de la plataforma en la nube», dijeron los investigadores de la Unidad 42, Ariel Zelivanky y Yuval Avrahami. «El descubrimiento de Azurescape también subraya la necesidad de que los proveedores de servicios en la nube proporcionen un acceso adecuado para que los investigadores externos estudien sus entornos en busca de amenazas desconocidas».