微軟修補(bǔ)可在Azure上接管他人容器的Azurescape漏洞

安全企業(yè)Palo Alto Networks周四（9/9）披露了一個(gè)存在于微軟Azure容器即服務(wù)（Container-as-a-Service，CaaS）平臺(tái)上的安全漏洞，該被命名為Azurescape漏洞將允許惡意的Azure容器實(shí)例（Azure Container Instances，ACI）用戶，突破自己的容器環(huán)境，轉(zhuǎn)而接管他人的容器，并執(zhí)行任意程序，而微軟已在收到Palo Alto Networks的通知后修補(bǔ)了該漏洞。

微軟是在2017年7月發(fā)布ACI，這也是全球首個(gè)由主要云計(jì)算服務(wù)供應(yīng)商所提供的CaaS服務(wù)，用戶可直接于Azure上部署容器，無需自行構(gòu)建或管理底層架構(gòu)，最初的ACI只創(chuàng)建在Kubernetes集群上，但后來微軟添加了Service Fabric集群，但Azurescape只影響奠基于Kubernetes集群的ACI。

公有云平臺(tái)通常是在多租戶的概念下運(yùn)行，也即在單一平臺(tái)上托管了不同組織的服務(wù)，并由像是微軟這樣的供應(yīng)商負(fù)責(zé)它的底層架構(gòu)與安全性，例如微軟會(huì)確保每個(gè)ACI無法攻擊同一平臺(tái)上的其它ACI，但Azurescape卻突破了這個(gè)限制。

簡(jiǎn)單地說，Azurescape是個(gè)3步驟的攻擊，黑客首先必須突破自己的ACI容器，再于多租戶的Kubernetes集群上取得管理權(quán)限，這時(shí)黑客已經(jīng)取得了整個(gè)容器集群的管理權(quán)，就能執(zhí)行惡意程序來攻擊其它的容器，訪問其它容器的所有資料或破壞其架構(gòu)。

Palo Alto Networks表示，目前并不知道Azurescape漏洞是否已被開采，且該漏洞可能在微軟剛推出ACI時(shí)便存在，或者已有組織受到影響，且它同時(shí)也影響Azure Virtual Networks上的ACI容器。

現(xiàn)有的微軟ACI用戶只要執(zhí)行“az container exec -n

不過，根據(jù)微軟的說法，并沒有任何跡象表明有任何客戶資料因Azurescape漏洞而外泄，為了謹(jǐn)慎起見，微軟已經(jīng)通知那些可能受到影響的潛在客戶，建議它們撤銷于8月31日以前所部署的任何特權(quán)憑證，若未收到微軟送出的服務(wù)健康通知（Service Health Notification），便不必采取任何措施。

Palo Alto Networks認(rèn)為，雖然云計(jì)算供應(yīng)商投入了龐大的資源，來強(qiáng)化多租戶平臺(tái)的安全性，但長(zhǎng)期以來安全社群一直認(rèn)為這些平臺(tái)可能存在未知的零時(shí)差漏洞，Azurescape的現(xiàn)身除了證實(shí)該理論之外，也突顯了云計(jì)算用戶應(yīng)該采取深度防御的做法來保護(hù)其云計(jì)算基礎(chǔ)設(shè)施，包括持續(xù)于云計(jì)算平臺(tái)的內(nèi)外監(jiān)控威脅，也透露出云計(jì)算服務(wù)供應(yīng)商應(yīng)該適度地開放外部研究人員調(diào)查這些平臺(tái)的潛在威脅，如同微軟一樣。