Уязвимость в Azure Container Instances позволяла выходить за пределы контейнера и получать доступ к любой информации в чужих контейнерах Azure.
Оставаться в границах
Корпорация Microsoft устранила уязвимость в Azure Container Instances, которая позволяла перехватывать контроль над чужими контейнерами.
Уязвимость под названием Azurescape давала возможность злоумышленникам выполнять команды в контейнерах, принадлежащих другим пользователям, и получать доступ к любым данным в них.
Azure Container Instances (ACI) — это облачный сервис, позволяющий компаниям размещать контейнированные приложения (контейнеры) в облаках. Все исполняемые файлы, зависимости и прочие данные, необходимые для запуска конкретного приложения, хранятся внутри единого пакета для минимизации усилий по их распространению и развертыванию.
При размещении контейнера в облаке Azure, он изолируется от всех остальных, чтобы не допустить взаимодействия между ними и использования общего пространства в памяти.
Microsoft устранила баг, позволяющий захватывать контейнеры в Azure
Однако, как выяснили эксперты Palo Alto Networks, существует возможность компрометации многопользовательских кластеров Kubernetes, в которых хостятся ACI.
Корпорация Microsoft проинформировала своих клиентов, которых может затрагивать уязвимость Azurescape, о необходимости сменить привилегированные реквизиты доступа к контейнерам, развернутым в Azure до 31 августа 2021 г.
Пятилетний код
По словам Юваля Аврахами (Yuval Avrahami) эксперта Palo Alto Networks, ACI использует почти пятилетней давности код, в котором выявлены уязвимости, допускающие выход за пределы контейнеров.
«RunCv1.0.0-rc2 вышел 1 октября 2016 г. и содержал как минимум две уязвимости, позволяющие выходить за пределы контейнера. Одну из них, CVE-2019-5736, мы анализировали в 2019 г.», — отметил Аврахами.
Эксплуатации этой уязвимости достаточно для того, чтобы выйти за пределы контейнера и обеспечить себе возможность запуска кода на уровне хоста (узла Kubernetes) с повышенными привилегиями.
«Довольно странно, что столь серьезная уязвимость потребовала в общей сложности пять лет на устранение, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Особенно ввиду того, что под угрозой могли оказываться сразу множество контейнеров, а не только данные в каком-то отдельно взятом приложении в облаке. Впрочем, устаревший код — постоянная проблема для масштабных систем: заменить его без ущерба для функционирования всего комплекса не всегда легко».
CNews
Оставаться в границах
Корпорация Microsoft устранила уязвимость в Azure Container Instances, которая позволяла перехватывать контроль над чужими контейнерами.
Уязвимость под названием Azurescape давала возможность злоумышленникам выполнять команды в контейнерах, принадлежащих другим пользователям, и получать доступ к любым данным в них.
Azure Container Instances (ACI) — это облачный сервис, позволяющий компаниям размещать контейнированные приложения (контейнеры) в облаках. Все исполняемые файлы, зависимости и прочие данные, необходимые для запуска конкретного приложения, хранятся внутри единого пакета для минимизации усилий по их распространению и развертыванию.
При размещении контейнера в облаке Azure, он изолируется от всех остальных, чтобы не допустить взаимодействия между ними и использования общего пространства в памяти.
Microsoft устранила баг, позволяющий захватывать контейнеры в Azure
Однако, как выяснили эксперты Palo Alto Networks, существует возможность компрометации многопользовательских кластеров Kubernetes, в которых хостятся ACI.
Корпорация Microsoft проинформировала своих клиентов, которых может затрагивать уязвимость Azurescape, о необходимости сменить привилегированные реквизиты доступа к контейнерам, развернутым в Azure до 31 августа 2021 г.
Пятилетний код
По словам Юваля Аврахами (Yuval Avrahami) эксперта Palo Alto Networks, ACI использует почти пятилетней давности код, в котором выявлены уязвимости, допускающие выход за пределы контейнеров.
«RunCv1.0.0-rc2 вышел 1 октября 2016 г. и содержал как минимум две уязвимости, позволяющие выходить за пределы контейнера. Одну из них, CVE-2019-5736, мы анализировали в 2019 г.», — отметил Аврахами.
Эксплуатации этой уязвимости достаточно для того, чтобы выйти за пределы контейнера и обеспечить себе возможность запуска кода на уровне хоста (узла Kubernetes) с повышенными привилегиями.
«Довольно странно, что столь серьезная уязвимость потребовала в общей сложности пять лет на устранение, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Особенно ввиду того, что под угрозой могли оказываться сразу множество контейнеров, а не только данные в каком-то отдельно взятом приложении в облаке. Впрочем, устаревший код — постоянная проблема для масштабных систем: заменить его без ущерба для функционирования всего комплекса не всегда легко».
CNews