Microsoftは、Azure Container Instancesに存在するAzurescapeと呼ばれる脆弱性を修正したと発表しました。
Azurescapeを悪用したすると、他のユーザーのコンテナでコマンドを実行し、プラットフォームにデプロイされたすべてのデータにアクセスすることができるというものです。
マイクロソフトは、Azurescapeの影響を受ける可能性のあるユーザに対し、2021年8月31日までにプラットフォームにデプロイされているコンテナの特権的な認証情報を変更するよう通知しました。
同社は、脆弱性を利用して顧客データにアクセスする攻撃の兆候が見られなかったため、慎重を期して警告を送信したとしています。
サービス・ヘルス通知を受け取っていないお客様は、何もする必要はありません。脆弱性は修正されており、調査の結果、他のクラスターでの不正アクセスは確認されませんでした
マイクロソフトのAzure Container Instances(ACI)は、企業がパッケージ化されたアプリケーション(コンテナ)をクラウド上に展開するためのクラウド型サービスです。
コンテナがデプロイされると、ACIはコンテナを他の実行中のコンテナから隔離し、メモリ空間の共有や相互作用を防ぎます。
Palo Alto Networksの研究者がAzurescapeを発見し、この脆弱性に関する技術的な詳細を解説し、”悪意のあるユーザーがACIをホストするマルチテナントのKubernetesクラスタを侵害することができる “と指摘しています。
Azure Container Instances(ACI)は、Azureが提供するContainer-as-a-Service(CaaS)で、顧客は基盤となるサーバーを管理することなくAzure上でコンテナを実行することができます。
Unit 42の研究者は、ACIの重要なセキュリティ問題を特定し、Microsoftに開示しました。
悪意のあるAzureユーザーは、これらの問題を悪用して、他のユーザーのコンテナ上でコードを実行したり、顧客の秘密やプラットフォームにデプロイされたイメージを盗んだり、さらには、ACIのインフラストラクチャを暗号化のために悪用したりする可能性があります。
研究者たちは、この脆弱性を「Azurescape」と名付けました。これは、パブリッククラウドにおける初のアカウント間のコンテナ乗っ取りの脆弱性です。
Avrahami氏によると、この問題の発見はACIが約5年前にリリースされたコードを使用しており、そのコードがコンテナエスケープバグに対して脆弱であることを発見したことから始まりました。
「RunC v1.0.0-rc2 “は2016年10月1日にリリースされたもので、少なくとも2つのコンテナに対して脆弱でした。2019年になって、私たちはこれらの脆弱性の1つであるCVE-2019-5736を分析しました」としています。
CVE-2019-5736を悪用することで、コンテナから基盤となるホストであるKubernetesノード上で昇格した特権でコード実行を行うことができました。
他のコンテナへの不正アクセスをするためのステップを解説されています。
- ノード上で、Kubeletポート(ポート10250)のトラフィックを監視し、AuthorizationヘッダーにJWTトークンを含むリクエストを待つ
- az container execを発行して、アップロードされたコンテナ上でコマンドを実行。
- ブリッジポッドは、侵害されたノード上のKubeletにexecリクエストを送信。
- ノード上でリクエストのAuthorizationヘッダからブリッジトークンを抽出し、それを使ってAPIサーバ上でシェルを実行。
この攻撃を実証するために、Palo Alto Networks社は、攻撃者がコンテナから脱走してクラスタ全体の管理者権限を取得する様子を撮影したビデオを公開しました。
Comments