歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
線上社區感染!微軟Azure安全漏洞Azurescape 允許駭客獲得整個容器叢集的管理權
2021 / 09 / 22
編輯部
Palo Alto Networks旗下威脅情報小組Unit 42發現了第一個可以讓公有雲服務的用戶突破自己的環境,並在屬於同一公有雲服務中的其他用戶環境中執行代碼。前所未見的跨帳戶接管影響了微軟的Azure容器即服務(Container-as-a-Service;CaaS)平台。研究人員將這一發現命名為Azurescape,因為該攻擊始於容器逃逸,一種使權限提升到容器環境之外的技術。
在Palo Alto Networks將問題報告給微軟安全回應中心(Microsoft Security Response Center;MSRC)後,微軟立即採取行動修復問題。Palo Alto Networks沒有發現任何Azurescape攻擊,但Azure容器實例(Azure Container Instances;ACI)平台的惡意用戶可能已經在無需事先存取的容器環境情況下,利用該漏洞在其他用戶的容器上執行代碼。
Azurescape允許ACI用戶獲得整個容器叢集的管理權。因此,用戶可以接管受影響的多租戶叢集來執行惡意代碼、竊取數據或破壞其他用戶的基礎設施。攻擊者可以完全控制託管其他用戶容器的Azure服務容器,訪問儲存在這些環境中的所有數據和機密。
Azurescape教會我們的雲端資安啟示有哪些?
公有雲通常以多租戶的概念運行。雲端服務供應商在單個平台上構建託管多個組織(或「租戶」)的環境,透過構建大規模的雲端基礎設施,得以在前所未有的經濟規模下,對每個租戶提供安全訪問。
雖然雲端供應商在保護這些多租戶平台方面投入了大量資金,但長期以來,資安專家一直認為可能存在未知的「零日」漏洞,使雲端客戶面臨來自同一雲端基礎架構中其他案例的攻擊風險。
Azurescape 是一個三階段的攻擊;首先,駭客必須突破自己的ACI容器,接下來,於多租戶的Kubernetes叢集取得管理權限。最後,駭客將可以透過執行惡意代碼來控制受影響的容器。
Azurescape的發現突顯雲端用戶需要採取「深度防禦」方法來保護他們的雲端基礎設施,包括持續監控雲平台內外的威脅。同時,也強調了雲端服務供應商需要為外部研究人員提供足夠的訪問權限來研究他們的環境,搜索未知威脅。
作為 Palo Alto Networks 推動公有雲端安全承諾的一部分,Palo Alto Networks積極投資研究,包括公有雲平台和相關技術的進階威脅建模和漏洞測試。
過去幾年,快速的雲端遷移使雲端平台成為駭客的重要目標。雖然Palo Alto Networks長期以來一直專注於識別新的雲端威脅,但首次跨帳戶容器接管的發現顯現了這項工作的重要性。熟練的駭客可能不滿足於以終端用戶為目標,而是可能將攻擊活動擴展到雲端平臺本身以增加影響力和接觸面。
無論威脅來自外部還是來自平臺本身,Palo Alto Networks鼓勵雲端用戶對雲端安全採取「深度防禦」,以確保控制和檢測漏洞。資安左移、執行期間防護以及異常檢測的組合提供了對抗類似跨帳戶攻擊的最佳保護。
CaaS
Container-as-a-Service
Azure
Azurescape
Palo Alto Networks
Unit 42
容器叢集
零日漏洞
容器安全
雲端安全
Kubernetes
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵