安全企业Palo Alto Networks周四(9/9)披露了一个存在于微软Azure容器即服务(Container-as-a-Service,CaaS)平台上的安全漏洞,该被命名为Azurescape漏洞将允许恶意的Azure容器实例(Azure Container Instances,ACI)用户,突破自己的容器环境,转而接管他人的容器,并执行任意程序,而微软已在收到Palo Alto Networks的通知后修补了该漏洞。
微软是在2017年7月发布ACI,这也是全球首个由主要云计算服务供应商所提供的CaaS服务,用户可直接于Azure上部署容器,无需自行构建或管理底层架构,最初的ACI只创建在Kubernetes集群上,但后来微软添加了Service Fabric集群,但Azurescape只影响奠基于Kubernetes集群的ACI。
公有云平台通常是在多租户的概念下运行,也即在单一平台上托管了不同组织的服务,并由像是微软这样的供应商负责它的底层架构与安全性,例如微软会确保每个ACI无法攻击同一平台上的其它ACI,但Azurescape却突破了这个限制。
简单地说,Azurescape是个3步骤的攻击,黑客首先必须突破自己的ACI容器,再于多租户的Kubernetes集群上取得管理权限,这时黑客已经取得了整个容器集群的管理权,就能执行恶意程序来攻击其它的容器,访问其它容器的所有资料或破坏其架构。
Palo Alto Networks表示,目前并不知道Azurescape漏洞是否已被开采,且该漏洞可能在微软刚推出ACI时便存在,或者已有组织受到影响,且它同时也影响Azure Virtual Networks上的ACI容器。
现有的微软ACI用户只要执行“az container exec -n
不过,根据微软的说法,并没有任何迹象表明有任何客户资料因Azurescape漏洞而外泄,为了谨慎起见,微软已经通知那些可能受到影响的潜在客户,建议它们撤销于8月31日以前所部署的任何特权凭证,若未收到微软送出的服务健康通知(Service Health Notification),便不必采取任何措施。
Palo Alto Networks认为,虽然云计算供应商投入了庞大的资源,来强化多租户平台的安全性,但长期以来安全社群一直认为这些平台可能存在未知的零时差漏洞,Azurescape的现身除了证实该理论之外,也突显了云计算用户应该采取深度防御的做法来保护其云计算基础设施,包括持续于云计算平台的内外监控威胁,也透露出云计算服务供应商应该适度地开放外部研究人员调查这些平台的潜在威胁,如同微软一样。