Microsoft bu hafta, yaygın olarak kullanılan Azure Service Fabric teknolojisinde, saldırganlara ana bilgisayar düğümünde kök ayrıcalıkları kazanma ve kümedeki diğer tüm düğümleri ele geçirme yolu sağlayan ciddi bir kapsayıcıdan kaçış güvenlik açığını açıkladı.
Microsoft Salı günü bir danışma belgesinde, ayrıcalık yükseltme hatasının yalnızca Linux kapsayıcılarında kullanılabilir olduğunu, ancak Windows kapsayıcı ortamlarında da mevcut olduğunu söyledi. Palo Alto Networks’ten güvenlik araştırmacıları, FabricScape adını verdikleri hatayı 30 Ocak 2022’de tam operasyonel bir istismarla birlikte bildirdiler. Microsoft, sorun için bir düzeltme yayınladı (CVE-2022-30137) 14 Haziran’da yayınlandı, ancak hatayla ilgili ayrıntılar bu hafta daha yeni yayınlandı.
Düzeltme, Microsoft’un otomatik güncelleme hizmetine abone olan tüm müşterilere uygulandı, ancak diğerlerinin Service Fabric’in en son sürümüne manuel olarak yama yapması gerekecek. Şirket, hata açıklama duyurusunda “Linux kümeleri otomatik olarak güncellenen müşterilerin başka bir işlem yapmasına gerek yok” dedi.
Bir Ayrıcalık Yükseltme Sorunu
Service Fabric, Kubernetes gibi bir Microsoft kapsayıcı düzenleme teknolojisidir. Çok sayıda kuruluş, kapsayıcıları ve mikro hizmet tabanlı bulut uygulamalarını bir platformda dağıtmak ve yönetmek için bir hizmet olarak platform olarak kullanır. makine kümesi. Palo Alto Networks, Service Fabric’in milyonlarca çekirdekte günde 1 milyondan fazla uygulamaya ev sahipliği yaptığını tahmin etmek için Microsoft verilerini kullandı.
Palo Alto Network’ün keşfettiği hata, Veri Toplama Aracısı (DCA) adlı bir Service Fabric bileşeninde yüksek ayrıcalıklara sahip bir günlük kaydı işlevinde bulunmaktadır. Güvenlik sağlayıcısının Unit 42 tehdit istihbarat ekibinden araştırmacılar, güvenliği ihlal edilmiş bir konteynere erişimi olan bir saldırganın ayrıcalıkları yükseltmek için güvenlik açığından yararlanabilir ve ana bilgisayar düğümünün kontrolünü ele geçirin ve oradan kaçarak tüm kümeye saldırın.
Palo Alto Networks güvenlik araştırması direktörü Ariel Zelivansky, “Açıklık, saldırganların tek bir uygulamayı ele geçirmeleri durumunda tüm Service Fabric ortamını ele geçirmelerine olanak tanıyor” diyor. Bu, saldırganların yanal hareket gerçekleştirmesine ve verileri çalmasına, yok etmesine veya manipüle etmesine olanak tanır. Bir saldırganın FabricScape’i kullanarak gerçekleştirebileceği diğer eylemler arasında fidye yazılımı dağıtmak veya kripto madenciliği için sistemleri ele geçirmek yer alır.
Zelivansky, “Bir kuruluş tüm uygulamalarını ve muhtemelen kimlik bilgilerini Service Fabric üzerinde barındırıyorsa, bir saldırgan bunların tümünün kontrolünü ele geçirebilir” diyor.
Microsoft, bir saldırının başarılı olması için bir tehdit aktörünün önce bir Linux Service Fabric kümesindeki kapsayıcılı bir iş yükünün güvenliğini aşmanın bir yolunu bulması gerektiğini söyledi. Saldırganın, daha sonra, zararlı kodun ortama eklenebileceği bir “yarış koşulu” ile sonuçlanacak şekilde savunmasız işlevi çalıştırmak için DCA’yı tetiklemesi gerekir.
PoC: Kusurdan Yararlanmak
Palo Alto Networks’teki araştırmacılar, kontrolleri altındaki bir kapsayıcı ve simüle edilmiş güvenliği ihlal edilmiş bir iş yükü kullanarak Azure Service Fabric’teki güvenlik açığından yararlanabildi. Saldırının yalnızca, güvenliği ihlal edilmiş kapsayıcının Service Fabric çalışma zamanı verilerine erişimi varsa işe yaradığını buldular; bu, tek kiracılı ortamlarda varsayılan olarak verilen ancak çok kiracılı kurulumlarda daha az yaygın olan bir şeydir.
Zelivansky, “Varsayılan olarak verilen çalışma zamanı erişimine sahip bir Service Fabric Linux kümesi tarafından desteklenen tüm uygulamalar etkilenir,” dedi. Geçen yıl, Palo Alto Networks, Azure Container Instances (ACI) platformunda benzer bir kapsayıcı kaçışına izin veren başka bir dizi güvenlik açığı keşfetti.
Microsoft, Service Fabric kullanan kuruluşları, ana bilgisayar kümelerine erişimi olan hem Linux hem de Windows ortamlarında kapsayıcılı iş yüklerini gözden geçirmeye çağırdı. “Varsayılan olarak, bir [Service Fabric] küme tek kiracılı bir ortamdır ve bu nedenle uygulamalar arasında yalıtım yoktur” dedi Microsoft. Microsoft, bu tek kiracılı ortamlarda çalışan tüm uygulamaların güvenilir olarak kabul edildiğini ve bu nedenle Service Fabric çalışma zamanına erişimi olduğunu söyledi.
Bu nedenle, bir Service Fabric kümesinde güvenilmeyen uygulama çalıştırmak isteyen kuruluşlar ek önlemler almalı Microsoft, uygulamalar arasında yalıtım oluşturmak ve güvenilmeyen uygulamalar için Service Fabric çalışma zamanına erişimi kaldırması gerektiğini söyledi.
Zelivansky, FabricScape gibi güvenlik açıklarına karşı ilk savunma katmanının uygulamanın kendisine odaklandığını ve kodlarındaki bilinen güvenlik açıklarını gidererek saldırı olasılığını sınırladığını söylüyor. Ayrıca internete maruz kalmayı sınırlayabilirler.
Ancak bir uyarıda bulunuyor: “Fakat gerçek şu ki, bir uygulama bilinen herhangi bir güvenlik açığından korunsa bile, sıfırıncı gün güvenlik açıkları herhangi bir kodda keşfedilebilir ve bunlardan yararlanılabilir. Ve [software] Yazım hatası veya kötü amaçlı paketler gibi tedarik zinciri saldırıları eskisinden daha yaygın hale geliyor” diyor.
Zelivansky, Linux Service Fabric kümeleri çalıştıran kuruluşların küme sürümlerini kontrol etmesi ve sürümün en az 9.0.1035.1 olduğunu doğrulaması gerektiğini söylüyor. “Bir kuruluş, Service Fabric’te Linux tabanlı uygulamaları olup olmadığını kontrol etmelidir. Cevabınız evetse, tüm ayrıntıları ortaya çıktığı için bu güvenlik açığının ele alınmasına öncelik vermenizi öneririz.”
Siber Saldırganların Görüş Alanındaki Bulut Güvenlik Açıkları
Bulut ürünleri ve hizmetlerindeki güvenlik açıkları, yalnızca bunlarla ilişkili güvenlik riskleri nedeniyle değil, kuruluşlar için giderek artan bir endişe haline geldi. Çoğu durumda, kuruluşlar, bunları kataloglamak için ortak bir güvenlik açığı numaralandırma (CVE) programının olmaması nedeniyle bulut güvenlik açıklarını takip etmekte zorlanır. Pek çok bulut güvenliği sorununun yalnızca hizmet sağlayıcının sorumluluğunda olduğu düşünüldüğünden, bu sorunların çoğu zaman çok az ifşa edilmesi, kuruluşların belirli bir tehdide maruz kalıp kalamayacakları konusunda karanlıkta kalmasına neden oldu.
Bu hafta Wiz’deki araştırmacılar, bu bilgi eksikliğini gidermeyi amaçlayan yeni bir topluluk tabanlı bulut güvenlik açığı veritabanı başlattı. Veritabanı şu anda bulut ürünleri ve hizmetlerinde önceki 70 güvenlik sorunu hakkında bilgi içeriyor. İleriye dönük olarak herkes veritabanına ekleyebilir. Amaç, bilgi güvenliği kusurları için MITRE’nin CVE programı gibi resmi bir programın yokluğunda onu bulut tehditleri hakkında bilgi için merkezi bir havuz haline getirmektir.