{"id":229299,"date":"2022-06-29T08:09:35","date_gmt":"2022-06-29T10:09:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-bogue-fabricscape-dans-microsoft-azure-service-fabric-affecte-les-charges-de-travail-linux\/"},"modified":"2022-06-29T08:09:36","modified_gmt":"2022-06-29T10:09:36","slug":"le-nouveau-bogue-fabricscape-dans-microsoft-azure-service-fabric-affecte-les-charges-de-travail-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-bogue-fabricscape-dans-microsoft-azure-service-fabric-affecte-les-charges-de-travail-linux\/","title":{"rendered":"Le nouveau bogue \u00ab\u00a0FabricScape\u00a0\u00bb dans Microsoft Azure Service Fabric affecte les charges de travail Linux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Chercheurs en cybers\u00e9curit\u00e9 de Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/fabricscape-cve-2022-30137\/\" target=\"_blank\">divulgu\u00e9<\/a> les d\u00e9tails d&#8217;une nouvelle faille de s\u00e9curit\u00e9 affectant Service Fabric de Microsoft qui pourrait \u00eatre exploit\u00e9e pour obtenir des autorisations \u00e9lev\u00e9es et prendre le contr\u00f4le de tous les n\u0153uds d&#8217;un cluster.<\/p>\n<p>Le probl\u00e8me, qui a \u00e9t\u00e9 surnomm\u00e9 <strong>FabricScape<\/strong> (<a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-30137\" target=\"_blank\">CVE-2022-30137<\/a>), pourraient \u00eatre exploit\u00e9es sur des conteneurs configur\u00e9s pour avoir <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/service-fabric\/service-fabric-best-practices-security#removeservicefabricruntimeaccess\" target=\"_blank\">acc\u00e8s \u00e0 l&#8217;ex\u00e9cution<\/a>.  \u00c7a a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/service-fabric\/release-notes\" target=\"_blank\">corrig\u00e9<\/a> au 14 juin 2022, en <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/microsoft\/service-fabric\/blob\/master\/release_notes\/Service_Fabric_ReleaseNotes_90CU1.md\" target=\"_blank\">Service Fabric 9.0 Mise \u00e0 jour cumulative 1.0<\/a>.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/service-fabric\/service-fabric-overview\" target=\"_blank\">Structure de services Azure<\/a> est la plate-forme en tant que service de Microsoft (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Platform_as_a_service\" target=\"_blank\">PaaS<\/a>) et une solution d&#8217;orchestration de conteneurs utilis\u00e9e pour cr\u00e9er et d\u00e9ployer des applications cloud bas\u00e9es sur des microservices sur un cluster de machines.<\/p>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 permet \u00e0 un acteur malveillant, ayant acc\u00e8s \u00e0 un conteneur compromis, d&#8217;\u00e9lever ses privil\u00e8ges et de prendre le contr\u00f4le du n\u0153ud SF h\u00f4te de la ressource et de l&#8217;ensemble du cluster&#8221;, a d\u00e9clar\u00e9 Microsoft. <a rel=\"nofollow noopener\" href=\"https:\/\/msrc-blog.microsoft.com\/2022\/06\/28\/azure-service-fabric-privilege-escalation-from-containerized-workloads-on-linux\/\" target=\"_blank\">a dit<\/a> dans le cadre du processus de divulgation coordonn\u00e9e.<\/p>\n<p>&#8220;Bien que le bogue existe sur les deux plates-formes de syst\u00e8me d&#8217;exploitation (OS), il n&#8217;est exploitable que sur Linux\u00a0; Windows a \u00e9t\u00e9 minutieusement examin\u00e9 et s&#8217;est av\u00e9r\u00e9 non vuln\u00e9rable \u00e0 cette attaque.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"320\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhAN_xII83JfcL8E7Czd1Y4w57_C4X4CGPv5szj1NraFsVFpMnjxsX5j74L80NLoOz6hLj4GxKPGIwN-lN8ADqSTnLXNM35YkGwKWyX5VuF4PTWnkjZfCAjtb4RlIAent1W99lESIAXwIYs6PnXgt10VM1cW2f-xsqea-Mqz_zF52ujzdy000IuTDu25Q\/s728-e100\/linux.jpg\" \/><\/div>\n<p>Un cluster Service Fabric est un ensemble connect\u00e9 au r\u00e9seau de plusieurs n\u0153uds (Windows Server ou Linux), chacun \u00e9tant con\u00e7u pour g\u00e9rer et ex\u00e9cuter des applications compos\u00e9es de microservices ou de conteneurs.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 identifi\u00e9e par l&#8217;unit\u00e9 42 r\u00e9side dans un composant appel\u00e9 Diagnostics Collection Agent (DCA) qui est responsable de la collecte des informations de diagnostic et se rapporte \u00e0 ce qu&#8217;on appelle un &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Symlink_race\" target=\"_blank\">course de liens symboliques<\/a>.&#8221;<\/p>\n<p>Dans un sc\u00e9nario hypoth\u00e9tique, un attaquant ayant acc\u00e8s \u00e0 une charge de travail conteneuris\u00e9e compromise pourrait remplacer un fichier lu par l&#8217;agent (\u00ab\u00a0ProcessContainerLog.txt\u00a0\u00bb) par un lien symbolique malveillant qui pourrait ensuite \u00eatre utilis\u00e9 pour \u00e9craser tout fichier arbitraire consid\u00e9rant que DCA s&#8217;ex\u00e9cute en tant que root sur le n\u0153ud.<\/p>\n<p>&#8220;Bien que ce comportement puisse \u00eatre observ\u00e9 \u00e0 la fois sur les conteneurs Linux et les conteneurs Windows, il n&#8217;est exploitable que dans les conteneurs Linux car dans les conteneurs Windows, les acteurs non privil\u00e9gi\u00e9s ne peuvent pas cr\u00e9er de liens symboliques dans cet environnement&#8221;, a d\u00e9clar\u00e9 Aviv Sasson, chercheur \u00e0 l&#8217;unit\u00e9 42.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;ex\u00e9cution du code est ensuite r\u00e9alis\u00e9e en profitant de la faille pour remplacer le &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/help.ubuntu.com\/community\/EnvironmentVariables\" target=\"_blank\">\/etc\/environnement<\/a>&#8221; fichier sur l&#8217;h\u00e9bergeur, suivi de l&#8217;exploitation d&#8217;un horaire interne <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Cron\" target=\"_blank\">T\u00e2che planifi\u00e9e<\/a> qui s&#8217;ex\u00e9cute en tant que root pour importer des variables d&#8217;environnement malveillantes et charger un objet partag\u00e9 non autoris\u00e9 sur le conteneur compromis qui accorde \u00e0 l&#8217;attaquant un shell invers\u00e9 dans le contexte de root.<\/p>\n<p>&#8220;Afin d&#8217;obtenir l&#8217;ex\u00e9cution du code, nous avons utilis\u00e9 une technique appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/006\/\" target=\"_blank\">piratage de l&#8217;\u00e9diteur de liens dynamique<\/a>.  Nous avons abus\u00e9 de la variable d&#8217;environnement LD_PRELOAD&#8221;, a expliqu\u00e9 Sasson. &#8220;Lors de l&#8217;initialisation d&#8217;un nouveau processus, l&#8217;\u00e9diteur de liens charge l&#8217;objet partag\u00e9 vers lequel cette variable pointe, et avec cela, nous injectons des objets partag\u00e9s dans les t\u00e2ches cron privil\u00e9gi\u00e9es sur le n\u0153ud.<\/p>\n<p>Bien qu&#8217;il n&#8217;y ait aucune preuve que la vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 exploit\u00e9e dans des attaques r\u00e9elles \u00e0 ce jour, il est crucial que les entreprises prennent des mesures imm\u00e9diates pour d\u00e9terminer si leurs environnements sont sensibles et impl\u00e9mentent les correctifs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/new-fabricscape-bug-in-microsoft-azure.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Chercheurs en cybers\u00e9curit\u00e9 de Palo Alto Networks Unit 42 divulgu\u00e9 les d\u00e9tails d&#8217;une nouvelle faille de s\u00e9curit\u00e9 affectant Service Fabric de Microsoft qui pourrait \u00eatre exploit\u00e9e pour obtenir des autorisations \u00e9lev\u00e9es et prendre le contr\u00f4le de tous les n\u0153uds d&#8217;un cluster. Le probl\u00e8me, qui a \u00e9t\u00e9 surnomm\u00e9 FabricScape (CVE-2022-30137), pourraient \u00eatre exploit\u00e9es sur des conteneurs [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":229300,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1132,21082,6813,20544,4168,4158,4165,4161,429,1743,84062,4157,4159,4171,4170,65,18088,4167,8362,4160,680,4163,4162,4172,4169,2314,709,4166,4164],"class_list":["post-229299","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affecte","tag-azure","tag-bogue","tag-charges","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-fabric","tag-fabricscape","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-service","tag-travail","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/229299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=229299"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/229299\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/229300"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=229299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=229299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=229299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}