Palo Alto Networks（派拓网络）首次发现Azurescape漏洞

Unit 42威胁情报团队日前首次发现一个新漏洞，它会导致公有云服务的某个用户脱离其环境，并在属于同一公有云服务的其他用户环境中执行代码。这一史无前例的跨账户接管影响了微软的Azure容器即服务（CaaS）平台。由于该攻击是从容器逃逸开始的，因此研究人员将这一发现命名为Azurescape，这是一种能够从容器环境中升级权限的技术。

在我们向微软安全响应中心（MSRC）报告这些问题后，微软立即采取行动修复了这些潜在问题。我们还不知道是否已有Azurescape攻击发生，但Azure容器实例（ACI）平台的恶意用户有可能利用该漏洞在其他客户的容器上执行代码，而不需要事先访问他们的环境。

Azurescape允许ACI用户获得对整个容器集群的管理权限。在那里，用户可以接管受影响的多租户集群，执行恶意代码，窃取数据或破坏其他客户的底层基础设施。攻击者可以完全控制那些托管其他客户容器的Azure服务器，访问存储在这些环境中的所有数据和保密信息。

Azurescape对云安全的警示

公有云的运行是基于多租户的概念。云服务提供商在单个平台上构建可托管多个组织机构（或“租户”）的环境，为每个组织机构提供安全访问，同时通过建立大规模云基础设施，实现前所未有的规模经济。

虽然云供应商在保护这些多租户平台方面投入了大量资金，但长期以来，人们仍然认为未知的“零日”漏洞可能存在，并使客户面临来自同一云基础设施内其他实例的攻击风险。

这一发现强调了云用户需要采取“深度防御”策略来保护云基础设施，包括持续监测云平台内外部威胁。Azurescape的发现再次强调了云服务提供商需要为外部研究人员提供足够访问权限的重要性，以研究其环境，探索未知威胁。

作为Palo Alto Networks（派拓网络）推进公有云安全承诺的一部分，我们积极投资相关研究，包括对公有云平台和相关技术进行高级威胁建模和漏洞测试等。

微软行业领先的与外部研究人员合作的项目将安全放在首位，并允许在整个Azure进行外部渗透测试。我们很高兴该项目为其他供应商树立了一个很好的榜样。安全研究合作对于推动和保护正在开发的云服务，激励创新至关重要。我们也要感谢MSRC给我们的奖励。

Azurescape问题解答

要深入了解我们是如何发现Azurescape的，建议您阅读Unit 42博客的完整报告，“寻找Azurescape - Azure容器实例中的跨账户容器接管”。以下是一些关于Azurescape工作原理以及受攻击后的应对建议：

我受到攻击了吗？

我们不清楚现实中是否已有Azurescape攻击发生。该漏洞可能从ACI成立之初就存在，因此有些组织可能已遭受攻击。Azurescape还攻击了Azure虚拟网络中的ACI容器。

ACI建立在托管客户容器的多租户集群上。最初这些是Kubernetes集群，但在过去一年，微软也开始在Service Fabric集群上托管ACI。Azurescape只影响在Kubernetes上运行的ACI。我们不知道如何检查过去的ACI容器是否在Kubernetes上运行。如果您有一个现有容器，您可以运行以下命令来检查它是否运行在Kubernetes上：

az container exec -n --exec-command "hostname"

如果输出以wk-caas开头，并且该容器在2021年8月31日之前开始运行，那么它可能已经受到Azuresape攻击。

如果我认为自己受到攻击，该如何应对？

如果您在平台上部署了特权凭证，我们建议轮换它们，并检查其访问日志是否有可疑活动。

像Prisma Cloud这样的云原生安全平台可以提供对此类活动的可视性，并在适当时候发出警报。

攻击是如何进行的？

Azurescape采用一种三步式攻击。首先，攻击者必须突破其ACI容器。其次，他们获得对多租户Kubernetes集群的管理权限。第三，他们可以通过执行恶意代码来控制被攻击容器。

我们的研究从容器映像WhoC开始，它可以揭开云平台的底层容器运行时。通过WhoC，我们发现可以通过CVE-2019-5736（runC中存在两年的漏洞）逃离ACI容器。然后，我们能够确定两种不同的方法来获得集群大脑上的代码执行，即api-server。

通过在api-server上执行代码，我们可以完全控制多租户集群。我们可以在客户容器上执行代码，窃取部署在ACI的客户机密，甚至可以滥用平台基础设施进行加密挖矿。

您认为会出现更多跨账户接管漏洞吗？

在过去几年，向云计算的快速迁移让这些平台成为恶意攻击者的首选目标。虽然我们长期以来一直专注于识别新的云威胁，而首次发现跨账户容器接管强调了这项工作的重要性。经验丰富的攻击者可能不满足于针对终端用户，而是将攻击活动扩展到平台本身，以扩大影响和范围。

有什么办法可以让我为可能出现的类似漏洞做好准备？

我们鼓励云用户采取“深度防御”策略来实现云安全，以确保漏洞得到控制和检测，无论威胁来自外部还是来自平台本身。安全左移、运行时保护以及异常检测的组合，为打击类似的跨账户攻击提供了最佳机会。

防止任何云环境受到攻击的最好方法是实施一个全面的云原生安全平台，如Prisma Cloud，它能够检测和缓解恶意行为，并识别云环境中的漏洞。了解Prisma Cloud如何在混合和多云环境中保护基础设施、应用和数据。