Escalamiento de privilegios de Service Fabric desde cargas de trabajo en contenedores en Linux: Centro de respuestas de seguridad de Microsoft

Bajo la Divulgación de vulnerabilidad coordinada (CVD), el proveedor de seguridad en la nube Palo Alto Networks informó a Microsoft de un problema que afectaba a los clústeres de Linux de Provider Material (SF) (CVE-2022-30137). La vulnerabilidad permite que un mal actor, con acceso a un contenedor comprometido, aumente los privilegios y obtenga el control del nodo SF del host del recurso y todo el clúster.

Aunque el mistake existe en ambas plataformas del sistema operativo (SO), solo se puede explotar en Linux Windows ha sido examinado minuciosamente y se ha encontrado que no es vulnerable a este ataque. La solución para este problema de escalada de privilegios estuvo disponible el 26 de mayo de 2022 y se aplicó a todos los clientes suscritos a actualizaciones automáticas.

Impacto en el cliente:

Los clientes sin actualizaciones automáticas habilitadas deben actualizar sus clústeres de Linux a la versión de SF más reciente. Las notas de la versión se pueden encontrar aquí. Los clientes cuyos clústeres de Linux se actualizan automáticamente no necesitan tomar más medidas.

Además, si está ejecutando clústeres de SF Home windows, este problema no le afecta. Sin embargo, siempre recomendamos mantenerse actualizado con la última versión.

Microsoft recomienda que los clientes sigan revisando todas las cargas de trabajo en contenedores (tanto Linux como Windows) a las que se permite el acceso a sus clústeres de host. De forma predeterminada, un clúster de SF es un entorno de inquilino único y, por lo tanto, no hay aislamiento entre las aplicaciones. Es posible crear aislamiento y se puede encontrar orientación adicional sobre cómo alojar código que no es de confianza en el Página de prácticas recomendadas de seguridad de Azure Company Material.

Mitigación de Microsoft:

Una vez que este problema se informó a Microsoft, tomamos los siguientes pasos para investigar y mitigar el problema:

  • 24 mayo 2022 – Solucionamos el error de escalada de privilegios en el tiempo de ejecución de SF y comenzamos a actualizar a los clientes con las actualizaciones automáticas habilitadas específicamente, el Agente de recopilación de diagnósticos de SF (DCA) se cambió para no consumir archivos generados por el usuario escritos en la carpeta de registro del contenedor.
  • 09 jun 2022 – Actualizamos nuestro guia de seguridad publica incluyendo detalles sobre las implicaciones de alojar código no confiable o tener contenedores comprometidos.
  • 14 de junio de 2022CVE-2022-30137 se publicó para este problema y las correcciones se implementaron para los clientes que aprovechan las actualizaciones automáticas. Los clientes sin actualizaciones automáticas recibieron notificaciones del portal a través de Estado del servicio de Azure.

Detalles técnicos:

Para que un ataque tenga éxito en la vulnerabilidad, se requieren estos pasos ordenados:

  • Paso 1: un atacante debe comprometer una carga de trabajo en contenedores implementada por el propietario de un clúster de Linux SF.
  • Paso 2: El código hostil que se ejecuta dentro del contenedor podría sustituir un archivo de índice leído por DCA con un enlace simbólico.
    • Usando un ataque de sincronización adicional, un atacante podría obtener el management de la máquina que aloja el nodo SF.

Por diseño, el acceso raíz en la máquina que aloja la nota SF no se considera un límite de seguridad en un clúster SF el rol privilegiado más alto en un nodo tiene el mismo privilegio en cualquier parte del mismo clúster.

Palo Alto Networks publicó un weblog sobre este tema disponible aquí. Agradecemos la oportunidad de investigar los hallazgos informados por Palo Alto Networks y les agradecemos por practicar una investigación de seguridad segura según los términos de nuestro programa de recompensas por errores. Más información sobre el Programa de recompensas por errores de Microsoft y el programa Términos y condiciones se puede encontrar utilizando estos enlaces.

Referencias adicionales:



Fuente del articulo