您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。 跳到主要內容
News Detail Banner
:::

微軟Azure平台存在Azurescape漏洞,允許駭客取得整個容器叢集管理權

資安業者Palo Alto Networks揭露微軟公有雲Azure容器即服務(Container-as-a-Service, CaaS)平台漏洞Azurescape,允許擁有Azure容器執行個體(Azure Container Instances, ACI)之惡意用戶,接管他人容器並執行任意程式,目前微軟已修補該漏洞。

 

公有雲平台通常於多租戶概念下運作,即於單一平台上協助代管各個不同組織之服務,並由供應商負責其底層架構與安全性。微軟於2017年7月發表可部署於Azure平台之ACI,為全球首個由雲端服務供應商提供之容器即服務,使用者可於Azure上直接部署ACI,無需自行建置或管理底層架構,最初之ACI僅建立於Kubernetes叢集上,後續新增Service Fabric叢集,而Azurescape漏洞僅影響基於Kubernetes叢集之ACI。

 

Azurescape漏洞攻擊可分成3階段,駭客首先突破自身ACI容器之存取限制,其次為取得多租戶之Kubernetes叢集管理權限,由於駭客此時已取得整個容器叢集管理權,後續便能執行惡意程式碼攻擊其他容器,進一步取得其他容器之管理權。

 

Palo Alto Networks表示,目前無法得知Azurescape漏洞是否已遭利用,惟該漏洞可能於微軟剛推出ACI時便存在;根據微軟說法,並未有任何跡象顯示有任何客戶資料因Azurescape漏洞而外洩,為謹慎起見微軟已通知可能受到影響之潛在客戶,建議其撤銷於2021年8月31日前部署之任何特權憑證。

Reference

資料來源:

https://www.paloaltonetworks.com/blog/2021/09/azurescape/

https://msrc-blog.microsoft.com/2021/09/08/coordinated-disclosure-of-vulnerability-in-azure-container-instances-service/

https://www.securitymagazine.com/articles/96064-azurescape-attack-allows-cross-container-cloud-compromise

技術服務中心整理

Publish Date
2021/9/15 上午 12:00:00