線上社區感染！微軟Azure安全漏洞Azurescape 允許駭客獲得整個容器叢集的管理權

Palo Alto Networks旗下威脅情報小組Unit 42發現了第一個可以讓公有雲服務的用戶突破自己的環境，並在屬於同一公有雲服務中的其他用戶環境中執行代碼。前所未見的跨帳戶接管影響了微軟的Azure容器即服務（Container-as-a-Service；CaaS）平台。研究人員將這一發現命名為Azurescape，因為該攻擊始於容器逃逸，一種使權限提升到容器環境之外的技術。
 
在Palo Alto Networks將問題報告給微軟安全回應中心（Microsoft Security Response Center；MSRC）後，微軟立即採取行動修復問題。Palo Alto Networks沒有發現任何Azurescape攻擊，但Azure容器實例（Azure Container Instances；ACI）平台的惡意用戶可能已經在無需事先存取的容器環境情況下，利用該漏洞在其他用戶的容器上執行代碼。
 
Azurescape允許ACI用戶獲得整個容器叢集的管理權。因此，用戶可以接管受影響的多租戶叢集來執行惡意代碼、竊取數據或破壞其他用戶的基礎設施。攻擊者可以完全控制託管其他用戶容器的Azure服務容器，訪問儲存在這些環境中的所有數據和機密。

Azurescape教會我們的雲端資安啟示有哪些?

公有雲通常以多租戶的概念運行。雲端服務供應商在單個平台上構建託管多個組織（或「租戶」）的環境，透過構建大規模的雲端基礎設施，得以在前所未有的經濟規模下，對每個租戶提供安全訪問。
 
雖然雲端供應商在保護這些多租戶平台方面投入了大量資金，但長期以來，資安專家一直認為可能存在未知的「零日」漏洞，使雲端客戶面臨來自同一雲端基礎架構中其他案例的攻擊風險。
 
Azurescape 是一個三階段的攻擊；首先，駭客必須突破自己的ACI容器，接下來，於多租戶的Kubernetes叢集取得管理權限。最後，駭客將可以透過執行惡意代碼來控制受影響的容器。
 
Azurescape的發現突顯雲端用戶需要採取「深度防禦」方法來保護他們的雲端基礎設施，包括持續監控雲平台內外的威脅。同時，也強調了雲端服務供應商需要為外部研究人員提供足夠的訪問權限來研究他們的環境，搜索未知威脅。
 
作為 Palo Alto Networks 推動公有雲端安全承諾的一部分，Palo Alto Networks積極投資研究，包括公有雲平台和相關技術的進階威脅建模和漏洞測試。
 
過去幾年，快速的雲端遷移使雲端平台成為駭客的重要目標。雖然Palo Alto Networks長期以來一直專注於識別新的雲端威脅，但首次跨帳戶容器接管的發現顯現了這項工作的重要性。熟練的駭客可能不滿足於以終端用戶為目標，而是可能將攻擊活動擴展到雲端平臺本身以增加影響力和接觸面。
 
無論威脅來自外部還是來自平臺本身，Palo Alto Networks鼓勵雲端用戶對雲端安全採取「深度防禦」，以確保控制和檢測漏洞。資安左移、執行期間防護以及異常檢測的組合提供了對抗類似跨帳戶攻擊的最佳保護。