Investigadores de ciberseguridad de Palo Alto Networks Unit 42 revelado<\/a> detalles de una nueva falla de seguridad que afecta a Service Fabric de Microsoft que podr\u00eda explotarse para obtener permisos elevados y tomar el control de todos los nodos en un cl\u00faster.<\/p>\n El problema, que ha sido denominado FabricScape<\/strong> (CVE-2022-30137<\/a>), podr\u00eda explotarse en contenedores que est\u00e1n configurados para tener acceso en tiempo de ejecuci\u00f3n<\/a>. Ha sido remediado<\/a> a partir del 14 de junio de 2022, en Service Fabric 9.0 Actualizaci\u00f3n acumulativa 1.0<\/a>.<\/p>\n Tejido de servicio de Azure<\/a> es la plataforma como servicio de Microsoft (PaaS<\/a>) y una soluci\u00f3n de orquestador de contenedores utilizada para crear e implementar aplicaciones en la nube basadas en microservicios en un grupo de m\u00e1quinas.<\/p>\n “La vulnerabilidad permite que un mal actor, con acceso a un contenedor comprometido, aumente los privilegios y obtenga el control del nodo SF del host del recurso y todo el cl\u00faster”, dijo Microsoft. dijo<\/a> como parte del proceso coordinado de divulgaci\u00f3n.<\/p>\n “Aunque el error existe en ambas plataformas del sistema operativo (SO), solo se puede explotar en Linux; Windows ha sido examinado minuciosamente y se descubri\u00f3 que no es vulnerable a este ataque”.<\/p>\n Un cl\u00faster de Service Fabric es un conjunto de varios nodos (Windows Server o Linux) conectados a la red, cada uno de los cuales est\u00e1 dise\u00f1ado para administrar y ejecutar aplicaciones que constan de microservicios o contenedores.<\/p>\n La vulnerabilidad identificada por la Unidad 42 reside en un componente llamado Agente de recopilaci\u00f3n de diagn\u00f3sticos (DCA) que es responsable de recopilar informaci\u00f3n de diagn\u00f3stico y se relaciona con lo que se denomina “carrera de enlaces simb\u00f3licos<\/a>.”<\/p>\n En un escenario hipot\u00e9tico, un atacante con acceso a una carga de trabajo en contenedores comprometida podr\u00eda sustituir un archivo le\u00eddo por el agente (“ProcessContainerLog.txt”) con un enlace simb\u00f3lico malicioso que luego podr\u00eda aprovecharse para sobrescribir cualquier archivo arbitrario considerando que DCA se ejecuta como root en el nodo<\/p>\n “Si bien este comportamiento se puede observar tanto en los contenedores de Linux como en los contenedores de Windows, solo se puede explotar en los contenedores de Linux porque en los contenedores de Windows, los actores sin privilegios no pueden crear enlaces simb\u00f3licos en ese entorno”, dijo el investigador de la Unidad 42, Aviv Sasson.<\/p>\n La ejecuci\u00f3n del c\u00f3digo se logra posteriormente aprovechando la falla para anular el “\/etc\/entorno<\/a>” archivo en el host, seguido de la explotaci\u00f3n de un horario interno trabajo cron<\/a> que se ejecuta como root para importar variables de entorno maliciosas y cargar un objeto compartido no autorizado en el contenedor comprometido que otorga al atacante un shell inverso en el contexto de root.<\/p>\n “Para lograr la ejecuci\u00f3n del c\u00f3digo, usamos una t\u00e9cnica llamada secuestro de enlazador din\u00e1mico<\/a>. Abusamos de la variable de entorno LD_PRELOAD”, explic\u00f3 Sasson. “Durante la inicializaci\u00f3n de un nuevo proceso, el enlazador carga el objeto compartido al que apunta esta variable y, con eso, inyectamos objetos compartidos en los trabajos cron privilegiados en el nodo.<\/p>\n Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en ataques del mundo real hasta la fecha, es crucial que las organizaciones tomen medidas inmediatas para determinar si sus entornos son susceptibles e implementar los parches.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656499068_459_El-nuevo-error-FabricScape-en-Microsoft-Azure-Service-Fabric-afecta.jpg\")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n