0
0
A Microsoft divulgou esta semana uma séria vulnerabilidade de fuga de contêiner em sua amplamente utilizada tecnologia Azure Service Fabric, que dá aos atacantes uma maneira de obter privilégios de root no nó host e assumir todos os outros nós do cluster.
O bug de escalonamento de privilégios só é explorável em contêineres Linux, embora também esteja presente em ambientes de contêineres do Windows, disse a Microsoft em um aviso na terça-feira. Pesquisadores de segurança da Palo Alto Networks relataram o bug — que eles apelidaram de FabricScape — juntamente com uma exploração totalmente operacional, em janeiro. 30, 2022. A Microsoft lançou uma correção para o problema (CVE-2022-30137) em 14 de junho, mas os detalhes sobre o bug acabaram de ser lançados esta semana.
A correção foi aplicada a todos os clientes que estão inscritos no serviço de atualização automática da Microsoft, mas outros precisarão corrigir manualmente a versão mais recente do Service Fabric. “Os clientes cujos clusters Linux são atualizados automaticamente não precisam tomar outras medidas”, disse a empresa em seu anúncio de divulgação de bugs.
Um Problema de Escalação de Privilégio
O Service Fabric é uma tecnologia de orquestração de contêineres da Microsoft — como o Kubernetes. Várias organizações o usam como uma plataforma como serviço para implantar e gerenciar contêineres e aplicativos em nuvem baseados em microsserviços em um cluster de máquinas. A Palo Alto Networks usou dados da Microsoft para estimar que o Service Fabric hospeda mais de 1 milhão de aplicativos diariamente em milhões de núcleos.
O bug que a Palo Alto Network descobriu existe em uma função de registro com altos privilégios em um componente do Service Fabric chamado Data Collection Agent (DCA). Pesquisadores da equipe de inteligência contra ameaças da Unidade 42 do fornecedor de segurança descobriram que um invasor com acesso a um contêiner comprometido poderia explorar a vulnerabilidade para escalar privilégios e obter o controle do nó host e, a partir daí, escapar dele e atacar todo o cluster.
“A vulnerabilidade permite que os atacantes assumam todo o ambiente do Service Fabric se conseguirem um único aplicativo”, diz Ariel Zelivansky, diretor de pesquisa de segurança da Palo Alto Networks. Isso permite que os atacantes realizem movimentos laterais e roubem, destruam ou manipulem dados. Outras ações que um invasor pode tomar explorando o FabricScape incluem a implantação de ransomware ou sistemas de sequestro para criptografia.
“Se uma organização hospeda todos os seus aplicativos e, possivelmente, credenciais, no Service Fabric, um invasor pode ganhar o controle de todos eles”, diz Zelivansky.
Para que um ataque seja bem-sucedido, um ator de ameaças primeiro precisaria encontrar uma maneira de comprometer uma carga de trabalho em contêiner em um cluster Linux Service Fabric, disse a Microsoft. O invasor precisaria acionar o DCA para executar a função vulnerável de uma maneira que resulte em uma chamada “condição de corrida”, onde o código malicioso pode ser introduzido no ambiente.
PoC: Explorando a Falha
Os pesquisadores da Palo Alto Networks conseguiram explorar a vulnerabilidade no Azure Service Fabric usando um contêiner sob seu controle e uma carga de trabalho comprometida simulada. Eles descobriram que o ataque só funcionava se o contêiner comprometido tivesse acesso aos dados de tempo de execução do Service Fabric – algo que é concedido por padrão em ambientes de inquilino único, mas menos comum em configurações multilocatário.
“Qualquer aplicativo que seja alimentado por um cluster Service Fabric Linux com acesso em tempo de execução, que é concedido por padrão, é afetado”, disse Zelivansky. No ano passado, a Palo Alto Networks descobriu outro conjunto de vulnerabilidades na plataforma Azure Container Instances (ACI) que permitia uma fuga de contêiner semelhante.
A Microsoft pediu às organizações que usam o Service Fabric para revisar cargas de trabalho em contêiner em ambientes Linux e Windows que tinham acesso a clusters de host. “Por padrão, um cluster [Service Fabric] é um ambiente de inquilino único e, portanto, não há isolamento entre os aplicativos”, disse a Microsoft. Todos os aplicativos em execução nesses ambientes de inquilino único são considerados confiáveis e, portanto, têm acesso ao tempo de execução do Service Fabric, disse a Microsoft.
Assim, as organizações que desejam executar aplicativos não confiáveis em um cluster do Service Fabric devem tomar medidas adicionais para criar isolamento entre os aplicativos e devem remover o acesso ao tempo de execução do Service Fabric para esses aplicativos não confiáveis, disse a Microsoft.
Zelivansky diz que a primeira camada de defesa contra vulnerabilidades como o FabricScape está se concentrando no próprio aplicativo, limitando a possibilidade de um ataque corrigindo vulnerabilidades conhecidas em seu código. Eles também podem limitar a exposição à Internet.
No entanto, ele oferece uma ressalva: “Mas a realidade é que, mesmo que um aplicativo esteja a salvo de qualquer vulnerabilidade conhecida, as vulnerabilidades de dia zero podem ser descobertas e exploradas em qualquer código. E os ataques da cadeia de suprimentos [de software], como pacotes tipográficos ou maliciosos, estão se tornando mais comuns do que antes”, diz ele.
Zelivansky diz que as organizações que executam clusters Linux Service Fabric devem verificar sua versão do cluster e verificar se a versão é pelo menos 9.0.1035.1. “Uma organização deve verificar se tem aplicativos baseados em Linux no Service Fabric. Se a resposta for sim, recomendamos dar prioridade máxima à resolução dessa vulnerabilidade agora que todos os detalhes estão fora.”
Vulnerabilidades da Nuvem nos Pontos de Vista dos Cyberattackers
Vulnerabilidades em produtos e serviços em nuvem se tornaram uma preocupação crescente para as organizações — e não apenas por causa dos riscos de segurança associados a elas. Em muitos casos, as organizações também têm dificuldade em acompanhar as vulnerabilidades da nuvem por causa da ausência de um programa comum de enumeração de vulnerabilidades (CVE) para catalogá-las. Como muitos problemas de segurança na nuvem são considerados de responsabilidade exclusiva do provedor de serviços, muitas vezes houve pouca divulgação desses problemas, deixando as organizações no escuro sobre se elas poderiam ter sido expostas a uma ameaça específica.
Esta semana, pesquisadores da Wiz lançaram um novo banco de dados de vulnerabilidades em nuvem baseado na comunidade com o objetivo de resolver essa falta de informação. O banco de dados atualmente contém informações sobre cerca de 70 problemas de segurança anteriores em produtos e serviços em nuvem. Qualquer um pode adicionar ao banco de dados daqui para frente. O objetivo é torná-lo um repositório central de informações sobre ameaças à nuvem na ausência de um programa formal como o programa CVE da MITRE para falhas de segurança da informação.
FONTE: DARK READING