Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Microsoft заделала брешь в Azure, которая грозила клиентам потерей данных

Уязвимость в Azure Container Instances позволяла выходить за пределы контейнера и получать доступ к любой информации в чужих контейнерах Azure.

Оставаться в границах

Корпорация Microsoft устранила уязвимость в Azure Container Instances, которая позволяла перехватывать контроль над чужими контейнерами.

Уязвимость под названием Azurescape давала возможность злоумышленникам выполнять команды в контейнерах, принадлежащих другим пользователям, и получать доступ к любым данным в них.

Azure Container Instances (ACI) — это облачный сервис, позволяющий компаниям размещать контейнированные приложения (контейнеры) в облаках. Все исполняемые файлы, зависимости и прочие данные, необходимые для запуска конкретного приложения, хранятся внутри единого пакета для минимизации усилий по их распространению и развертыванию.

При размещении контейнера в облаке Azure, он изолируется от всех остальных, чтобы не допустить взаимодействия между ними и использования общего пространства в памяти.

Microsoft устранила баг, позволяющий захватывать контейнеры в Azure

Однако, как выяснили эксперты Palo Alto Networks, существует возможность компрометации многопользовательских кластеров Kubernetes, в которых хостятся ACI.

Корпорация Microsoft проинформировала своих клиентов, которых может затрагивать уязвимость Azurescape, о необходимости сменить привилегированные реквизиты доступа к контейнерам, развернутым в Azure до 31 августа 2021 г.

Пятилетний код

По словам Юваля Аврахами (Yuval Avrahami) эксперта Palo Alto Networks, ACI использует почти пятилетней давности код, в котором выявлены уязвимости, допускающие выход за пределы контейнеров.

«RunCv1.0.0-rc2 вышел 1 октября 2016 г. и содержал как минимум две уязвимости, позволяющие выходить за пределы контейнера. Одну из них, CVE-2019-5736, мы анализировали в 2019 г.», — отметил Аврахами.

Эксплуатации этой уязвимости достаточно для того, чтобы выйти за пределы контейнера и обеспечить себе возможность запуска кода на уровне хоста (узла Kubernetes) с повышенными привилегиями.

«Довольно странно, что столь серьезная уязвимость потребовала в общей сложности пять лет на устранение, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Особенно ввиду того, что под угрозой могли оказываться сразу множество контейнеров, а не только данные в каком-то отдельно взятом приложении в облаке. Впрочем, устаревший код — постоянная проблема для масштабных систем: заменить его без ущерба для функционирования всего комплекса не всегда легко».

Комментарии