Microsoft hat bekannt gegeben, dass es eine Schwachstelle von erheblichem Schweregrad in Microsofts Service Fabric repariert hat, einem Infrastrukturprojekt, das für das Hosten von Anwendungen auf Containern und virtuellen Maschinen entwickelt wurde und viele Azure- und Microsoft-Dienste unterstützt.
Die Schwachstelle wurde vom Cloud-Bedrohungsforschungsteam Unit 42 von Palo Alto Networks entdeckt. Ausführliche Informationen zu FabricScape und seinen Auswirkungen finden Sie in diesem Artikel. Eine eher technische Analyse ist in diesem Blog von Unit 42 enthalten.
- Die Schwachstelle mit dem Namen FabricScape betrifft Service Fabric, auf das sich viele Unternehmen bei Cloud-Bereitstellungen verlassen.
- Nachdem es Microsoft gemeldet wurde, tat sich Unit 42 mit Microsoft zusammen, um eine Lösung zu entwickeln.
- Diese Schwachstelle ermöglichte es Hackern, alle Container in einem einzelnen Cluster zu übernehmen, indem sie aus einem einzelnen kompromittierten Container „entkamen“.
Die Analyse wurde im Rahmen laufender Bemühungen von Palo Alto Networks und Unit 42 durchgeführt, um die Sicherheit öffentlicher Clouds zu verbessern. Die Security-Profis analysieren kontinuierlich Open-Source-Software und Cloud-Infrastruktur, um neue Schwachstellen und aufkommende Bedrohungen zu identifizieren.
Bitte kontaktieren Sie uns, wenn Sie Fragen an einen Cloud-Sicherheitsexperten von Palo Alto Networks haben.
Eine kurze Zusammenfassung:
Die Forscher von Unit 42 identifizierten FabricScape (CVE-2022-30137), eine Schwachstelle von erheblichem Schweregrad in Microsofts Service Fabric – häufig verwendet mit Azure – die es Linux-Containern ermöglicht, ihre Privilegien zu eskalieren, um Root-Privilegien auf dem Knoten zu erlangen, und dann alles zu kompromittieren der Knoten im Cluster. Die Schwachstelle könnte auf Containern ausgenutzt werden, die für Laufzeitzugriff konfiguriert sind, der standardmäßig jedem Container gewährt wird.
Laut Microsoft hostet Service Fabric mehr als 1 Million Anwendungen und führt täglich Millionen von Kernen aus. Es unterstützt viele Azure-Angebote, einschließlich Azure Service Fabric, Azure SQL Database und Azure CosmosDB, sowie andere Microsoft-Produkte, einschließlich Cortana und Microsoft Power BI.
Mithilfe eines Containers unter unserer Kontrolle, um eine kompromittierte Workload zu simulieren, konnten wir die Schwachstelle in Azure Service Fabric ausnutzen, einem Azure-Angebot, das private Service Fabric-Cluster in der Cloud bereitstellt. Einige andere Ausnutzungsversuche der Azure-Angebote, die von verwalteten mehrinstanzenfähigen Service Fabric-Clustern betrieben werden, sind fehlgeschlagen, da Microsoft den Laufzeitzugriff auf Container dieser Angebote deaktiviert hat.
Palo Alto Networks hat eng mit Microsoft zusammengearbeitet, um das Problem zu beheben. Microsoft hat einen Patch für Azure Service Fabric veröffentlicht, der das Problem in Linux-Clustern bereits gemindert und auch interne Produktionsumgebungen von Angeboten und aktualisiert hat Produkte, die von Service Fabric betrieben werden.
Palo Alto Networks empfiehlt Unternehmen, die Azure Service Fabric ohne aktivierte automatische Updates ausführen, ihre Linux-Cluster auf die neueste Service Fabric-Version zu aktualisieren. Unternehmen, deren Linux-Cluster automatisch aktualisiert werden, müssen keine weiteren Maßnahmen ergreifen.
Sowohl Microsoft als auch Palo Alto Networks empfehlen, die Ausführung nicht vertrauenswürdiger Anwendungen in Service Fabric zu vermeiden.
