Ресерчеры Palo Alto Networks в рамках Coordinated Vulnerability Disclosure (CVD) раскрыли подробности о новой уязвимости, затрагивающей кластеры Service Fabric (SF) Linux (CVE-2022-30137) и получившей наименование FabricScape.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.