电子发烧友网>安全设备/系统> > 正文

Palo Alto Networks(派拓网络)首次发现Azurescape漏洞,可导致前所未有的云攻击

2021年09月23日 11:45 次阅读

  Unit 42威胁情报团队日前首次发现一个新漏洞,它会导致公有云服务的某个用户脱离其环境,并在属于同一公有云服务的其他用户环境中执行代码。这一史无前例的跨账户接管影响了微软的Azure容器即服务(CaaS)平台。由于该攻击是从容器逃逸开始的,因此研究人员将这一发现命名为Azurescape,这是一种能够从容器环境中升级权限的技术。

 

  在我们向微软安全响应中心(MSRC)报告这些问题后,微软立即采取行动修复了这些潜在问题。我们还不知道是否已有Azurescape攻击发生,但Azure容器实例(ACI)平台的恶意用户有可能利用该漏洞在其他客户的容器上执行代码,而不需要事先访问他们的环境。

  Azurescape允许ACI用户获得对整个容器集群的管理权限。在那里,用户可以接管受影响的多租户集群,执行恶意代码,窃取数据或破坏其他客户的底层基础设施。攻击者可以完全控制那些托管其他客户容器的Azure服务器,访问存储在这些环境中的所有数据和保密信息。

  Azurescape对云安全的警示

  公有云的运行是基于多租户的概念。云服务提供商在单个平台上构建可托管多个组织机构(或“租户”)的环境,为每个组织机构提供安全访问,同时通过建立大规模云基础设施,实现前所未有的规模经济。

  虽然云供应商在保护这些多租户平台方面投入了大量资金,但长期以来,人们仍然认为未知的“零日”漏洞可能存在,并使客户面临来自同一云基础设施内其他实例的攻击风险。

  这一发现强调了云用户需要采取“深度防御”策略来保护云基础设施,包括持续监测云平台内外部威胁。Azurescape的发现再次强调了云服务提供商需要为外部研究人员提供足够访问权限的重要性,以研究其环境,探索未知威胁。

  作为Palo Alto Networks(派拓网络)推进公有云安全承诺的一部分,我们积极投资相关研究,包括对公有云平台和相关技术进行高级威胁建模和漏洞测试等。

  微软行业领先的与外部研究人员合作的项目将安全放在首位,并允许在整个Azure进行外部渗透测试。我们很高兴该项目为其他供应商树立了一个很好的榜样。安全研究合作对于推动和保护正在开发的云服务,激励创新至关重要。我们也要感谢MSRC给我们的奖励。

  Azurescape问题解答

  要深入了解我们是如何发现Azurescape的,建议您阅读Unit 42博客的完整报告,“寻找Azurescape - Azure容器实例中的跨账户容器接管”。以下是一些关于Azurescape工作原理以及受攻击后的应对建议:

  我受到攻击了吗?

  我们不清楚现实中是否已有Azurescape攻击发生。该漏洞可能从ACI成立之初就存在,因此有些组织可能已遭受攻击。Azurescape还攻击了Azure虚拟网络中的ACI容器。

  ACI建立在托管客户容器的多租户集群上。最初这些是Kubernetes集群,但在过去一年,微软也开始在Service Fabric集群上托管ACI。Azurescape只影响在Kubernetes上运行的ACI。我们不知道如何检查过去的ACI容器是否在Kubernetes上运行。如果您有一个现有容器,您可以运行以下命令来检查它是否运行在Kubernetes上:

  az container exec -n 《container-name》 --exec-command “hostname”

  如果输出以wk-caas开头,并且该容器在2021年8月31日之前开始运行,那么它可能已经受到Azuresape攻击。

  如果我认为自己受到攻击,该如何应对?

  如果您在平台上部署了特权凭证,我们建议轮换它们,并检查其访问日志是否有可疑活动。

  像Prisma Cloud这样的云原生安全平台可以提供对此类活动的可视性,并在适当时候发出警报。

  攻击是如何进行的?

  Azurescape采用一种三步式攻击。首先,攻击者必须突破其ACI容器。其次,他们获得对多租户Kubernetes集群的管理权限。第三,他们可以通过执行恶意代码来控制被攻击容器。

  我们的研究从容器映像WhoC开始,它可以揭开云平台的底层容器运行时。通过WhoC,我们发现可以通过CVE-2019-5736(runC中存在两年的漏洞)逃离ACI容器。然后,我们能够确定两种不同的方法来获得集群大脑上的代码执行,即api-server。

  通过在api-server上执行代码,我们可以完全控制多租户集群。我们可以在客户容器上执行代码,窃取部署在ACI的客户机密,甚至可以滥用平台基础设施进行加密挖矿。

  您认为会出现更多跨账户接管漏洞吗?

  在过去几年,向云计算的快速迁移让这些平台成为恶意攻击者的首选目标。虽然我们长期以来一直专注于识别新的云威胁,而首次发现跨账户容器接管强调了这项工作的重要性。经验丰富的攻击者可能不满足于针对终端用户,而是将攻击活动扩展到平台本身,以扩大影响和范围。

  有什么办法可以让我为可能出现的类似漏洞做好准备?

  我们鼓励云用户采取“深度防御”策略来实现云安全,以确保漏洞得到控制和检测,无论威胁来自外部还是来自平台本身。安全左移、运行时保护以及异常检测的组合,为打击类似的跨账户攻击提供了最佳机会。

  防止任何云环境受到攻击的最好方法是实施一个全面的云原生安全平台,如Prisma Cloud,它能够检测和缓解恶意行为,并识别云环境中的漏洞。了解Prisma Cloud如何在混合和多云环境中保护基础设施、应用和数据。

下载发烧友APP

打造属于您的人脉电子圈

关注电子发烧友微信

有趣有料的资讯及技术干货

关注发烧友课堂

锁定最新课程活动及技术直播

电子发烧友观察

一线报道 · 深度观察 · 最新资讯
收藏 人收藏
分享:

评论

相关推荐

致远电子CAN智慧云如何赋能ECU远程刷写

汽车步入智能网联时代,汽车总线面临技术升级,ECU刷写仍然是车辆性能优化的关键测试。本文介绍ZLG致....
发表于 2021-10-12 09:31 46次阅读
致远电子CAN智慧云如何赋能ECU远程刷写

探究Redis 性能测试与监控

很多人在安装部署好Redis后,就没有对Rredis的配置和部署等有效性和高可用性进行性能测试,最终....
发表于 2021-10-12 09:19 72次阅读
探究Redis 性能测试与监控

如何建立一个动态的IP黑名单

Nginx 通过 Lua + Redis 实现动态封禁 IPJava后端 3天前为了封禁某些爬虫或者....
发表于 2021-10-12 09:15 62次阅读
如何建立一个动态的IP黑名单

怎么用树莓派自己制作一个服务器

  链接丨segmentfault.com/a/1190000021143144 No.1 树莓派是....
发表于 2021-10-12 09:12 73次阅读
怎么用树莓派自己制作一个服务器

NVIDIA和VMware将为企业提供大规模AI...

NVIDIA AI Enterprise和VMware vSphere with Tanzu简化企业....
发表于 2021-10-11 16:57 106次阅读
NVIDIA和VMware将为企业提供大规模AI...

TI携手台达为数据中心设计高效、高功率服务器电源...

因此,德州仪器(TI)区域销售经理 Rui 认为,我国数据中心未来发展将突出表现在绿色化、智能化、大....
发表于 2021-10-09 14:47 192次阅读
TI携手台达为数据中心设计高效、高功率服务器电源...

热虹吸散热技术解决GPU服务器散热问题

随着深度学习、仿真、BIM设计、AEC行业在各行各业应用的发展,在AI技术虚拟GPU技术的加持之下,....
发表于 2021-10-09 14:11 23次阅读
热虹吸散热技术解决GPU服务器散热问题

联想集团终止科创板上市

联想集团公司在首个港股交易日股价收涨创下了半年以来的最新高,联想集团股价经历国庆七天保持上涨。据悉,....
发表于 2021-10-09 10:55 2087次阅读
联想集团终止科创板上市

脸书一周内第二次宕机

据海外媒体的报道消息,Facebook公司就已经在一周之内出现第二次服务器故障问题向用户致歉,称公司....
发表于 2021-10-09 09:24 1426次阅读
脸书一周内第二次宕机

怎样去开发OPC Data Access 2.0服务器

OPC服务器的开发主要包括哪几部分? 怎样去开发OPC Data Access 2.0服务器? ...
发表于 2021-10-09 08:03 0次阅读
怎样去开发OPC Data Access 2.0服务器

FH8001路桥凝冰预警系统的简单介绍

迄今为止,我国高速公路里程已超过16万公里,居世界首位。由于我国3/4的国土处于降雪、冰冻覆盖区,在....
发表于 2021-10-08 16:01 21次阅读
FH8001路桥凝冰预警系统的简单介绍

开源服务器Tomcat工作原理

Tomcat 是什么开源的 Java Web 应用服务器,实现了 Java EE(Java Plat....
发表于 2021-10-08 15:11 140次阅读
开源服务器Tomcat工作原理

机柜式温湿度传感器在数据中心机房的应用

随着信息技术的不断发展,计算机机房成了各大企业不可缺少的重要组成部分。但是在整体信息化建设以及建筑智....
发表于 2021-10-08 14:30 15次阅读
机柜式温湿度传感器在数据中心机房的应用

北鲲云超算平台如何将云计算与高性能计算结合

近几年,随着“上云“概念的普及,而且云计算技术逐渐趋于成熟,许多有自建机房或者集群的高性能计算行业企....
发表于 2021-10-08 10:36 31次阅读
北鲲云超算平台如何将云计算与高性能计算结合

联想与英特尔携手点亮数字经济加速度 打造高性能计...

  提到大数据、算力,普通人都不陌生,现在谁手机里还没点AI计算能力了,但说起高性能计算HPC,听起....
发表于 2021-10-08 10:13 528次阅读
联想与英特尔携手点亮数字经济加速度 打造高性能计...

进入容器,即开即用:NVIDIA和VMware为...

戴尔科技EMC PowerEdge R7525服务器近期在MLPerf基准测试中使用三个NVIDIA....
发表于 2021-10-08 10:10 893次阅读
进入容器,即开即用:NVIDIA和VMware为...

虹科方案可管理多个OPC UA服务器

OPC UA 技术解决工业现场数据通信标准不统一的问题,使得不同操作系统和不同制造商的设备之间可以进....
发表于 2021-10-08 09:18 132次阅读
虹科方案可管理多个OPC UA服务器

MES系统增强中小型制造企业的能力

现如今,中小型制造企业正被埋在行业中较大的实体之下。然而,当今许多制造技术方面的进步,例如云MES(....
发表于 2021-09-30 16:26 25次阅读
MES系统增强中小型制造企业的能力

海康威视率先推出基于深度学习的结构化服务器

海康威视2022全球校园招聘宣讲会走进华中科技大学。海康威视总裁胡扬忠先生与母校青年学子畅谈海康威视....
发表于 2021-09-30 15:36 1022次阅读
海康威视率先推出基于深度学习的结构化服务器

水库防汛泄洪抢险应急广播系统解决方案

水库防汛泄洪抢险应急广播系统,是围绕灾前预警预报、灾中应急处置和灾后重建等关键环节设计的无线应急广播....
发表于 2021-09-30 09:38 66次阅读
水库防汛泄洪抢险应急广播系统解决方案

物联数采网关在电力能效管理系统中的应用

系统背景:电力能效管理是企业节能降耗,减少运营成本,提高竞争力的关键措施,已成为全社会企业关注的焦点....
发表于 2021-09-30 09:16 50次阅读
物联数采网关在电力能效管理系统中的应用

轻松统一管理多个OPC UA服务器

前言随着现代工业的快速发展,OPCUA协议逐渐应用于工业过程的数据采集。越来越多的工业现场设备支持O....
发表于 2021-09-29 18:10 34次阅读
轻松统一管理多个OPC UA服务器

Modbus协议是什么

Modbus协议是什么? MODBUS功能码有哪些? MODBUS协议有哪几种传输模式? ...
发表于 2021-09-29 07:06 0次阅读
Modbus协议是什么

勤哲Excel服务器构建环境监测信息管理系统

众所周知,当下火热的信息化大数据平台建设,能够更加充分摸清地区环境质量和污染源底数,有效提高精准预测....
发表于 2021-09-28 14:17 199次阅读
勤哲Excel服务器构建环境监测信息管理系统

如何降低开发门槛助力音视频创新玩法

9月16日,华为多媒体管线服务(AV Pipeline Kit)技术直播正式开启。华为多媒体管线服务....
发表于 2021-09-28 10:26 330次阅读
如何降低开发门槛助力音视频创新玩法

如何通过C#结合SMTP来实现报警通知

如何进行报警的检测? 如何实现邮件的发送? 如何通过C#结合SMTP来实现报警通知? ...
发表于 2021-09-28 06:58 0次阅读
如何通过C#结合SMTP来实现报警通知

ZN-2RXY模块式柔性自动环形生产线实验系统有哪些功能

ZN-2RXY模块式柔性自动环形生产线实验系统是由哪些部分组成的? ZN-2RXY模块式柔性自动环形生产线实验系统...
发表于 2021-09-27 08:56 0次阅读
ZN-2RXY模块式柔性自动环形生产线实验系统有哪些功能

华为欧拉系统合作公司有哪些

华为欧拉操作系统openEuler在9月25日已经正式全面发布,欧拉操作系统主要针对云服务器而提供服....
发表于 2021-09-26 10:57 3416次阅读
华为欧拉系统合作公司有哪些

解析Kubernetes监控指标获取方式对比

对比 node-exporter用于采集服务器层面的运行指标,包括机器的loadavg、filesy....
发表于 2021-09-26 10:45 310次阅读
解析Kubernetes监控指标获取方式对比

华为欧拉os系统是家用的吗

华为欧拉os系统可以家用,华为欧拉os操作系统是基于Linux开发的,它融入了华为对于服务器场景的很....
发表于 2021-09-26 10:39 3108次阅读
华为欧拉os系统是家用的吗

如何获取采集服务器Kubernetes监控指标

对比 node-exporter用于采集服务器层面的运行指标,包括机器的loadavg、filesy....
发表于 2021-09-26 10:13 171次阅读
如何获取采集服务器Kubernetes监控指标

碳化硅无线电电路能否承受地狱般的高温

新冠疫情蔓延的2020年夏季鲜有好事。其中最令人印象深刻的事件之一是美国宇航员乘坐太空探索技术公司(....
发表于 2021-09-26 09:45 297次阅读
碳化硅无线电电路能否承受地狱般的高温

华为欧拉发布会直播在哪看

华为欧拉发布会直播大家可以通过华为云官网进行观看直播。9月25日,华为通过线上平台正式发布了新一代o....
发表于 2021-09-26 09:32 1618次阅读
华为欧拉发布会直播在哪看

华为欧拉系统免费吗

华为欧拉系统是免费的。华为欧拉系统是华为公司针对企业级Linux服务器操作系统自研开发的,可以覆盖到....
发表于 2021-09-24 17:44 1936次阅读
华为欧拉系统免费吗

华为欧拉系统和鸿蒙系统的区别

华为公司全新操作系统openEuler欧拉系统明天(9月25日)即将正式发布,华为此前就已经发布了鸿....
发表于 2021-09-24 16:56 7240次阅读
华为欧拉系统和鸿蒙系统的区别

华为欧拉系统怎么样

根据华为公司的官方消息公布,华为将在25日发布全新openEuler欧拉操作系统。华为欧拉系统跟华为....
发表于 2021-09-24 16:29 2406次阅读
华为欧拉系统怎么样

基于Linux下iptables超详细教程和使用...

iptables的结构: iptables由上而下,由Tables,Chains,Rules组成。 ....
发表于 2021-09-24 16:08 247次阅读
基于Linux下iptables超详细教程和使用...

如何才能实现有效的数据库筛选

伴随着日趋激烈、数字化转型的不断深入,不同企业对自身的敏捷化要求也逐步提高。因为只有提高敏捷性,企业....
发表于 2021-09-23 16:28 237次阅读
如何才能实现有效的数据库筛选

引入消息队列会多出哪些问题

前言 最近,消息队列(Message Queue ,简称 MQ)越来越火。很多公司在用,很多人在用,....
发表于 2021-09-23 14:53 237次阅读
引入消息队列会多出哪些问题

IP知识百科之什么是SYN Flood

SYN Flood SYN Flood是互联网上最原始、最经典的DDoS攻击之一。它利用了TCP协议....
发表于 2021-09-23 11:03 245次阅读
IP知识百科之什么是SYN Flood

手把手教你在旧手机上搭建一台备份服务器

本文将向你展示如何使用 UrBackup 和 Linux Deploy在一台 Android 旧手机....
发表于 2021-09-23 10:26 3534次阅读
手把手教你在旧手机上搭建一台备份服务器

PLC客户端监控系统有哪些功能

PLC客户端监控系统的特点是什么? PLC客户端监控系统有哪些功能? ...
发表于 2021-09-18 07:41 0次阅读
PLC客户端监控系统有哪些功能

请问一下CHNet-S7200的功能有哪些

请问一下CHNet-S7200的功能有哪些?
发表于 2021-09-18 06:58 0次阅读
请问一下CHNet-S7200的功能有哪些

IBM携手方正通用加速推进IBM混合云和人工智能...

近年来 IBM 存储技术不断取得新突破。IBM FlashSystem 高性能闪存存储解决方案通过整....
发表于 2021-09-17 17:50 1402次阅读
IBM携手方正通用加速推进IBM混合云和人工智能...

迅为IMX6ULL开发板NFS服务器的使用

(1)我们将开发板开发板烧写 yocto 文件系统,有线网口通过网线连接到路由器,系统起来后首先使用“ifconfig”查看开...
发表于 2021-09-17 10:02 202次阅读
迅为IMX6ULL开发板NFS服务器的使用

服务器上空闲内存不足是什么原因

  一天,有人报上了一个问题,发现一台服务器上空闲内存不足,slab占用了40多G,想知道什么原因,....
发表于 2021-09-17 09:38 186次阅读
服务器上空闲内存不足是什么原因

NVIDIA A100 GPU助力德睿智药加速创...

德睿智药是一家运用AI技术驱动药物研发的科技公司,其自研的一站式AI药物研发平台Molecule P....
发表于 2021-09-17 09:33 321次阅读
NVIDIA A100 GPU助力德睿智药加速创...

东芝服务器外置计数器选择

08项目调整202:外置计数器选择0:无外置计数器1:绕组控制器2:非标准3:保留204:自动清除[秒]0:无效1:15秒 2:30...
发表于 2021-09-17 09:20 0次阅读
东芝服务器外置计数器选择

电机服务器故障及维修方法

一、判断准确,方法简洁维修工作要求时间短,因此必须准确判别故障部位,采取最简洁的维修方法进行维修,在尽可能短的...
发表于 2021-09-17 06:33 0次阅读
电机服务器故障及维修方法

Softing推出新的软件模块,用于将Modbu...

新的edgeConnector Modbus是一款灵活的Docker容器应用程序,用于连接Modbu....
发表于 2021-09-16 17:45 648次阅读
Softing推出新的软件模块,用于将Modbu...

浪潮信息打造一体化AI服务器,助力中石化物探院直...

近年来,油气勘探在高新技术的推动下获得了突破性进展,同时也产生了高达PB级数据量,面对勘探平台智能化....
发表于 2021-09-16 13:18 255次阅读
浪潮信息打造一体化AI服务器,助力中石化物探院直...

IP知识百科之命令与控制

命令与控制 随着恶意软件和恶意攻击的产业化发展,网络攻击者大都不再使用单台主机实施攻击行为,取而代之....
发表于 2021-09-16 09:22 291次阅读
IP知识百科之命令与控制

服务器正常运行方式

正常运行方式:包括检修方式和按负荷曲线及季节变化的水电方式,火电方式,最大最小负荷和最大最小开机方式下较长期出...
发表于 2021-09-16 06:15 0次阅读
服务器正常运行方式

安森美的智能技术赋能记忆科技下一代服务器的每一个...

记忆科技服务器开发和公司研发副总裁Ding Wang续道:“安森美完全赋能我们VR13.HC平台的开....
发表于 2021-09-14 10:46 2319次阅读
安森美的智能技术赋能记忆科技下一代服务器的每一个...