歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
線上社區感染!微軟Azure安全漏洞Azurescape 允許駭客獲得整個容器叢集的管理權
2021 / 09 / 22
編輯部
Palo Alto Networks旗下威脅情報小組Unit 42發現了第一個可以讓公有雲服務的用戶突破自己的環境,並在屬於同一公有雲服務中的其他用戶環境中執行代碼。前所未見的跨帳戶接管影響了微軟的Azure容器即服務(Container-as-a-Service;CaaS)平台。研究人員將這一發現命名為Azurescape,因為該攻擊始於容器逃逸,一種使權限提升到容器環境之外的技術。
在Palo Alto Networks將問題報告給微軟安全回應中心(Microsoft Security Response Center;MSRC)後,微軟立即採取行動修復問題。Palo Alto Networks沒有發現任何Azurescape攻擊,但Azure容器實例(Azure Container Instances;ACI)平台的惡意用戶可能已經在無需事先存取的容器環境情況下,利用該漏洞在其他用戶的容器上執行代碼。
Azurescape允許ACI用戶獲得整個容器叢集的管理權。因此,用戶可以接管受影響的多租戶叢集來執行惡意代碼、竊取數據或破壞其他用戶的基礎設施。攻擊者可以完全控制託管其他用戶容器的Azure服務容器,訪問儲存在這些環境中的所有數據和機密。
Azurescape教會我們的雲端資安啟示有哪些?
公有雲通常以多租戶的概念運行。雲端服務供應商在單個平台上構建託管多個組織(或「租戶」)的環境,透過構建大規模的雲端基礎設施,得以在前所未有的經濟規模下,對每個租戶提供安全訪問。
雖然雲端供應商在保護這些多租戶平台方面投入了大量資金,但長期以來,資安專家一直認為可能存在未知的「零日」漏洞,使雲端客戶面臨來自同一雲端基礎架構中其他案例的攻擊風險。
Azurescape 是一個三階段的攻擊;首先,駭客必須突破自己的ACI容器,接下來,於多租戶的Kubernetes叢集取得管理權限。最後,駭客將可以透過執行惡意代碼來控制受影響的容器。
Azurescape的發現突顯雲端用戶需要採取「深度防禦」方法來保護他們的雲端基礎設施,包括持續監控雲平台內外的威脅。同時,也強調了雲端服務供應商需要為外部研究人員提供足夠的訪問權限來研究他們的環境,搜索未知威脅。
作為 Palo Alto Networks 推動公有雲端安全承諾的一部分,Palo Alto Networks積極投資研究,包括公有雲平台和相關技術的進階威脅建模和漏洞測試。
過去幾年,快速的雲端遷移使雲端平台成為駭客的重要目標。雖然Palo Alto Networks長期以來一直專注於識別新的雲端威脅,但首次跨帳戶容器接管的發現顯現了這項工作的重要性。熟練的駭客可能不滿足於以終端用戶為目標,而是可能將攻擊活動擴展到雲端平臺本身以增加影響力和接觸面。
無論威脅來自外部還是來自平臺本身,Palo Alto Networks鼓勵雲端用戶對雲端安全採取「深度防禦」,以確保控制和檢測漏洞。資安左移、執行期間防護以及異常檢測的組合提供了對抗類似跨帳戶攻擊的最佳保護。
CaaS
Container-as-a-Service
Azure
Azurescape
Palo Alto Networks
Unit 42
容器叢集
零日漏洞
容器安全
雲端安全
Kubernetes
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊
BitoPro疑遭北韓駭客攻擊 損失約3.2億台幣加密貨幣
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
資安人科技網
文章推薦
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
構築製造業資安核心 零信任架構的落地實戰