Palo Alto Networks Unit 42’den siber güvenlik araştırmacıları ifşa Microsoft’un Service Fabric’ini etkileyen, yükseltilmiş izinler elde etmek ve bir kümedeki tüm düğümlerin kontrolünü ele geçirmek için kullanılabilecek yeni bir güvenlik açığının ayrıntıları.
Dublaj yapılan konu KumaşScape (CVE-2022-30137), sahip olacak şekilde yapılandırılmış kapsayıcılarda kullanılabilir. çalışma zamanı erişimi. Olmuştur düzeltilmiş 14 Haziran 2022 itibariyle, Service Fabric 9.0 Toplu Güncelleme 1.0.
Azure Hizmet Yapısı Microsoft’un bir hizmet olarak platformudur (PaaS) ve bir makine kümesi genelinde mikro hizmet tabanlı bulut uygulamaları oluşturmak ve dağıtmak için kullanılan bir kapsayıcı düzenleyici çözümü.
“Açıklık, güvenliği ihlal edilmiş bir kapsayıcıya erişimi olan kötü bir aktörün ayrıcalıkları yükseltmesine ve kaynağın ana bilgisayar SF düğümünün ve tüm kümenin kontrolünü ele geçirmesine olanak tanır,” Microsoft söz konusu koordineli ifşa sürecinin bir parçası olarak.
“Hata her iki İşletim Sistemi (OS) platformunda da mevcut olsa da, yalnızca Linux’ta kullanılabilir; Windows kapsamlı bir şekilde incelendi ve bu saldırıya karşı savunmasız olmadığı bulundu.”
Service Fabric kümesi, her biri mikro hizmetlerden veya kapsayıcılardan oluşan uygulamaları yönetmek ve yürütmek için tasarlanmış, ağa bağlı birkaç düğümden (Windows Server veya Linux) oluşan bir kümedir.
Birim 42 tarafından tanımlanan güvenlik açığı, tanılama bilgilerini toplamaktan sorumlu olan Tanılama Toplama Aracısı (DCA) adlı bir bileşende bulunur ve “sembolik yarış“
Varsayımsal bir senaryoda, güvenliği ihlal edilmiş kapsayıcılı bir iş yüküne erişimi olan bir saldırgan, aracı tarafından okunan bir dosyayı (“ProcessContainerLog.txt”) sahte bir sembolik bağlantıyla değiştirebilir ve DCA’nın root on olarak çalıştığı göz önüne alındığında herhangi bir rastgele dosyanın üzerine yazmak için kullanılabilir. düğüm.
Birim 42 araştırmacısı Aviv Sasson, “Bu davranış hem Linux kapsayıcılarında hem de Windows kapsayıcılarında gözlemlenebilirken, yalnızca Linux kapsayıcılarında kullanılabilir, çünkü Windows kapsayıcılarında ayrıcalıksız aktörler bu ortamda sembolik bağlantılar oluşturamaz.”
Kod yürütme, daha sonra “/etc/ortam” ana bilgisayarda dosya, ardından dahili bir saatlik cron işi kötü amaçlı ortam değişkenlerini içe aktarmak ve saldırgana kök bağlamında bir ters kabuk veren güvenliği ihlal edilmiş kapsayıcıya sahte bir paylaşılan nesne yüklemek için kök olarak çalışır.
“Kod yürütme elde etmek için, adı verilen bir teknik kullandık. dinamik bağlayıcı kaçırma. LD_PRELOAD ortam değişkenini kötüye kullandık” diye açıkladı Sasson. “Yeni bir işlemin başlatılması sırasında, bağlayıcı bu değişkenin işaret ettiği paylaşılan nesneyi yükler ve bununla birlikte, düğümdeki ayrıcalıklı cron işlerine paylaşılan nesneleri enjekte ederiz.
Bugüne kadar güvenlik açığından gerçek dünya saldırılarında yararlanıldığına dair bir kanıt olmamasına rağmen, kuruluşların ortamlarının hassas olup olmadığını belirlemek ve yamaları uygulamak için hemen harekete geçmeleri çok önemlidir.
