Azure: Container Escape-Schwachstelle (CVE-2022-30137) in Microsofts Service Fabric geschlossen

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Palo Alto Networks sind in Microsofts Service Fabric auf eine Container-Escape-Schwachstelle gestoßen, die sich dann FabricScape genannt haben. Die Schwachstelle ermöglichte den Ausbruch aus Containern in Microsofts Service Fabric, die häufig mit Azure verwendet wird. Palo Alto Networks hat mit Microsoft kooperiert, um diese Schwachstelle zu beseitigen.


Anzeige

Ich bin über nachfolgenden Tweet auf diesen Sachverhalt zur Container Escape-Schwachstelle (CVE-2022-30137) in Microsofts Service Fabric gestoßen, der im Artikel FabricScape: Escaping Service Fabric and Taking Over the Cluster näher beschrieben ist. Der Titel umreißt es bereits: Durch Ausbruch aus den unter Microsoft Azure gehosteten Containern per Microsofts Service Fabric konnten mittels der Schwachstelle (CVE-2022-30137) komplette Cluster übernommen werden.

Es gibt einen zweiten Beitrag Uncovering FabricScape, der die Details etwas zusammen fasst. Die Sicherheitsforscher von Unit 42 identifizierten mit FabricScape (CVE-2022-30137) eine Schwachstelle von erheblichem Schweregrad in Microsofts Service Fabric. Die Software wird häufig mit Azure verwendet – und die Schwachstelle ermöglicht Linux-Containern eine Privilegien-Eskalation. So lassen sich Root-Privilegien auf dem Knoten erlangen, und der Angreifer hat dann alles, um die Knoten im Cluster zu kompromittieren. Die Schwachstelle könnte auf Containern, die für Laufzeitzugriff konfiguriert sind, der standardmäßig jedem Container gewährt wird, ausgenutzt werden.

Zur Einordnung: Service Fabric hostet laut Microsoft mehr als 1 Million Anwendungen und läuft täglich auf Millionen von Kernen. Die Software versorgt viele Azure-Angebote, darunter Azure Service Fabric, Azure SQL Database und Azure CosmosDB, sowie andere Microsoft-Produkte wie Cortana und Microsoft Power BI.

Mithilfe eines von den Sicherheitsforschern kontrollierten Containers, der eine kompromittierte Arbeitslast simuliert, konnten diese die Schwachstelle in Azure Service Fabric ausnutzen. Einige andere Versuche, die Schwachstelle bei Azure-Angeboten auszunutzen, die auf verwalteten Multi-Tenant Service Fabric-Clustern basieren, schlugen allerdings fehl. Hintergrund ist, dass Microsoft den Laufzeitzugriff auf Container dieser Angebote deaktiviert.

Die Sicherheitsforscher von Palo Alto Networks haben eng mit Microsoft (MSRC) zusammengearbeitet, um das Problem zu beheben. Die Schwachstelle wurde am 14. Juni 2022 vollständig behoben. Microsoft hat dazu einen Patch für Azure Service Fabric veröffentlicht. Durch den Patch wurde das Problem in Linux-Clustern bereits entschärft. Zudem wurden auch interne Produktionsumgebungen von Angeboten und Produkten, die von Service Fabric betrieben werden, aktualisiert.

Die Sicherheitsforscher raten Kunden, die Azure Service Fabric ohne aktivierte automatische Updates betreiben, und ihre Linux-Cluster auf die neueste Version von Service Fabric zu aktualisieren. Kunden, deren Linux-Cluster automatisch aktualisiert werden, müssen keine weiteren Maßnahmen ergreifen. Sowohl Microsoft als auch Palo Alto Networks empfehlen, die Ausführung von nicht vertrauenswürdigen Anwendungen in Service Fabric zu vermeiden.

Obwohl keine Angriffe in freier Wildbahn bekannt sind, die diese Schwachstelle erfolgreich ausgenutzt haben, wird Unternehmen dringend geraten, sofort Maßnahmen zu ergreifen, um festzustellen, ob ihre Umgebungen anfällig sind und und gegebenenfalls schnell Patches zu implementieren. Details sind hier nachzulesen.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Azure, Cloud, Sicherheit, Software abgelegt und mit Azure, Cloud, Sicherheit, Software verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.