El nuevo error 'FabricScape' en Microsoft Azure Service Fabric afecta las cargas de trabajo de Linux

Tejido de servicio de Microsoft Azure

Investigadores de ciberseguridad de Palo Alto Networks Unit 42 reveló detalles de una nueva falla de seguridad que afecta a Service Fabric de Microsoft que puede ser aprovechada por personas malintencionadas para obtener permisos elevados y tomar el control de todos los nodos en un clúster.

El problema, que ha sido denominado FabricScapeCVE-2022-30137), puede explotarse en contenedores configurados para acceso en tiempo de ejecución† Ha sido recuperado a partir del 14 de junio de 2022, en Service Fabric 9.0 Actualización acumulativa 1.0

Tejido de servicio de Azure es la plataforma como servicio de Microsoft (Pascua de Resurrección) y una solución de orquestador de contenedores utilizada para crear e implementar aplicaciones en la nube basadas en microservicios en un grupo de máquinas.

"La vulnerabilidad permite que un atacante, con acceso a un contenedor comprometido, aumente los privilegios y tome el control del nodo SF del host del recurso y todo el clúster", dijo Microsoft. dijo como parte del proceso coordinado de divulgación.

"Si bien el error existe en ambos sistemas operativos (SO), solo se puede explotar en Linux; Windows ha sido examinado minuciosamente y se descubrió que no es vulnerable a este ataque".

Un clúster de Service Fabric es un conjunto conectado a la red de diferentes nodos (Windows Server o Linux), cada uno diseñado para administrar y ejecutar aplicaciones compuestas por microservicios o contenedores.

La vulnerabilidad identificada por la Unidad 42 reside en un componente llamado Agente de recopilación de diagnósticos (DCA) que es responsable de recopilar información de diagnóstico y pertenece a lo que es un "carrera simbolica

En un escenario hipotético, un atacante con acceso a una carga de trabajo en contenedores comprometida podría reemplazar un archivo leído por el agente ("ProcessContainerLog.txt") con un enlace simbólico malicioso que luego podría usarse para sobrescribir arbitrariamente cualquier archivo, ya que DCA actúa como raíz. se ejecuta en el nodo.

"Si bien este comportamiento se puede observar tanto en contenedores de Linux como en contenedores de Windows, solo se puede explotar en contenedores de Linux porque los actores no autorizados en contenedores de Windows no pueden crear enlaces simbólicos en ese entorno", dijo el investigador de la Unidad 42, Aviv Sasson.

Luego, la ejecución del código se logra usando el error para obtener el "/etc/entorno" archivo en el host, seguido de la explotación de un horario interno trabajo cron que se ejecuta como root para importar variables de entorno maliciosas y cargar un objeto compartido no autorizado en el contenedor comprometido, lo que proporciona al atacante un shell inverso en el contexto de root.

"Para obtener la ejecución del código, usamos una técnica llamada secuestro izquierdo dinámico† Abusamos de la variable de entorno LD_PRELOAD", explica Sasson. "Durante la inicialización de un nuevo proceso, el enlazador carga el objeto compartido al que hace referencia esta variable, inyectando así objetos compartidos en los trabajos cron privilegiados en el nodo.

Si bien no hay evidencia hasta la fecha de que la vulnerabilidad haya sido explotada en ataques del mundo real, es fundamental que las organizaciones tomen medidas inmediatas para determinar si sus entornos son susceptibles e implementar los parches.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad