Investigadores de ciberseguridad de Palo Alto Networks Unit 42 revelado detalles de una nueva falla de seguridad que afecta a Service Fabric de Microsoft que podría explotarse para obtener permisos elevados y tomar el control de todos los nodos en un clúster.
El problema, que ha sido denominado FabricScape (CVE-2022-30137), podría explotarse en contenedores que están configurados para tener acceso en tiempo de ejecución. Ha sido remediado a partir del 14 de junio de 2022, en Service Fabric 9.0 Actualización acumulativa 1.0.
Tejido de servicio de Azure es la plataforma como servicio de Microsoft (PaaS) y una solución de orquestador de contenedores utilizada para crear e implementar aplicaciones en la nube basadas en microservicios en un grupo de máquinas.
«La vulnerabilidad permite que un mal actor, con acceso a un contenedor comprometido, aumente los privilegios y obtenga el control del nodo SF del host del recurso y todo el clúster», dijo Microsoft. dijo como parte del proceso coordinado de divulgación.
«Aunque el error existe en ambas plataformas del sistema operativo (SO), solo se puede explotar en Linux; Windows ha sido examinado minuciosamente y se descubrió que no es vulnerable a este ataque».
Un clúster de Service Fabric es un conjunto de varios nodos (Windows Server o Linux) conectados a la red, cada uno de los cuales está diseñado para administrar y ejecutar aplicaciones que constan de microservicios o contenedores.
La vulnerabilidad identificada por la Unidad 42 reside en un componente llamado Agente de recopilación de diagnósticos (DCA) que es responsable de recopilar información de diagnóstico y se relaciona con lo que se denomina «carrera de enlaces simbólicos.»
En un escenario hipotético, un atacante con acceso a una carga de trabajo en contenedores comprometida podría sustituir un archivo leído por el agente («ProcessContainerLog.txt») con un enlace simbólico malicioso que luego podría aprovecharse para sobrescribir cualquier archivo arbitrario considerando que DCA se ejecuta como root en el nodo
«Si bien este comportamiento se puede observar tanto en los contenedores de Linux como en los contenedores de Windows, solo se puede explotar en los contenedores de Linux porque en los contenedores de Windows, los actores sin privilegios no pueden crear enlaces simbólicos en ese entorno», dijo el investigador de la Unidad 42, Aviv Sasson.
La ejecución del código se logra posteriormente aprovechando la falla para anular el «/etc/entorno» archivo en el host, seguido de la explotación de un horario interno trabajo cron que se ejecuta como root para importar variables de entorno maliciosas y cargar un objeto compartido no autorizado en el contenedor comprometido que otorga al atacante un shell inverso en el contexto de root.
«Para lograr la ejecución del código, usamos una técnica llamada secuestro de enlazador dinámico. Abusamos de la variable de entorno LD_PRELOAD», explicó Sasson. «Durante la inicialización de un nuevo proceso, el enlazador carga el objeto compartido al que apunta esta variable y, con eso, inyectamos objetos compartidos en los trabajos cron privilegiados en el nodo.
Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en ataques del mundo real hasta la fecha, es crucial que las organizaciones tomen medidas inmediatas para determinar si sus entornos son susceptibles e implementar los parches.