资安业者 Palo Alto Networks 今日表示,旗下威胁情报小组 Unit 42 发现首个可让公有云服务用户突破自己的环境,并在属于同一公有云服务中的其他用户环境中执行代码的情况。而前所未见的跨账户接管影响微软 Azure 容器即服务(CaaS)平台,研究人员将这一发现命名为 Azurescape,因为该攻击始于容器逃逸,一种使权限提升到容器环境之外的技术。
据悉,Azurescape 允许 ACI 用户获得整个容器丛集的管理权。因此,用户可以接管受影响的多租户丛集来执行恶意代码、窃取数据或破坏其他用户的基础设施;攻击者可以完全控制托管其他用户容器的 Azure 服务容器,接触储存在这些环境中的所有数据和机密。
Palo Alto Networks 指出,此一状况点出了云端资安亟需“深度防御”。公有云通常以多租户的概念运行。云端服务供应商在单个平台上构建托管多个组织(或“租户”)的环境,透过构建大规模的云端基础设施,得以在前所未有的经济规模下,对每个租户提供安全访问。
虽然云端供应商在保护这些多租户平台方面投入了大量资金,但长期以来,资安专家一直认为可能存在未知的“零日”漏洞,使云端客户面临来自同一云端基础架构中其他案例的攻击风险。
以 Azurescape 为例,这是一个三阶段的攻击。首先,骇客必须突破自己的 ACI 容器,接下来,于多租户的 Kubernetes 丛集取得管理权限。最后,骇客将可以透过执行恶意代码来控制受影响的容器。
Palo Alto Networks 说明,Azurescape 的发现突显云端用户需要采取“深度防御”方法来保护云端基础设施,包括持续监控云平台内外的威胁,以确保控制和检测漏洞。同时,也强调了云端服务供应商需要为外部研究人员提供足够的权限以研究环境,搜索未知威胁。而在将问题报告给微软安全回应中心后,微软也立即采取行动修复问题。
Palo Alto Networks 强调,过去几年,快速的云端迁移使云端平台成为骇客的重要目标,而此次发现也意味着熟练的骇客可能不满足于以终端用户为目标,而是可能将攻击活动扩展到云端平台本身以增加影响力和接触面。
(首图来源:微软)
