聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软修复了 Azure Container Instances  (ACI) 即 Azurescape中的一个漏洞，它可导致恶意容器接管属于该平台其他客户的容器。

研究人员指出，利用 Azurescape 的攻击者可在其他用户的容器中执行代码并且访问部署在该平台的所有数据。

客户数据有风险

微软通知客户称他们可能受 Azurescape 影响，需要更改在8月31日前部署到该平台的容器的权限凭证。微软表示出于谨慎考虑发出这些邮件，因为目前尚未发现该漏洞被用于访问客户数据的攻击活动。微软指出，“如果你未收到服务健康状况通知邮件，则无需采取任何措施。该漏洞已修复，调查结果显示其它集群中并非出现越权访问的情况。”

微软 ACI 是基于云的服务，可使企业在云上部署包应用程序（容器）。容器中具有运行特定应用程序必须的可执行文件、依赖关系和文件，不过存储在单个软件包中以便于分发和部署。

部署容器时，ACI 把容器和其它运行的容器分离，以阻止他们共享内存并互相交互。

过时代码是罪魁祸首

Palo Alto Networks 公司的研究员发现Azurescape 并告知微软公司。该公司的研究员 Yuval Avrahami 今天发布文章详述了该漏洞的细节，表示该漏洞“可使恶意用户攻陷托管 ACI 的多租户 Kubernetes 集群。”

Avrahami 指出，当时发现 ACI 使用了约5年前发布的代码，这些代码易受容器逃逸漏洞影响。他解释称，“RunC v1.0.0-rc2 在2016年10月1日发布，至少易受两个容器崩溃CVE漏洞影响。2019年，我们分析了其中一个漏洞 CVE-2019-5736。”利用 CVE-2019-5736 足以使该容器崩溃并以底层主机的提升权限执行代码。

Avrahami 总结了越权访问其它容器的步骤：

• 在节点，监控 Kubelet 端口（端口10250）上的流量，并等待在 Authorization 标头内包含 JWT 零阿皮的请求。

• 发布 az container exec，在所上传的容器上运行命令。该 bridge pod 将向受陷系欸但上的 Kubelet 发送 exec 请求。

• 在节点上，从请求的 Authorization 标头提取 bridge 令牌，并以此在 API-服务器上弹出 shell。

Palo Alto Networks 公司还发布视频，展示攻击者如何突破容器获得整个集群的管理员权限。

【开奖啦！！！！！】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉，恭喜以下同学中奖，请未填写地址的同学在微信后台私信地址，我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快！或直接点击“原文链接”购买。

如下是本书相关讲解:

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

Windows 365 以明文形式暴露微软 Azure 凭据

我发现了 Microsoft Azure 中的两个漏洞

微软推出 Azure Sphere 漏洞奖励计划，最高奖金10万美元

老旧漏洞不修复，西部数据存储设备数据遭擦除

苹果修复老旧设备中的两个 iOS 0day

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-fixes-bug-letting-hackers-take-over-azure-containers/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~