全球網路安全領導品牌Palo Alto Networks旗下威脅情報小組Unit 42發現了第一個可以讓公有雲服務的用戶突破自己的環境,並在屬於同一公有雲服務中的其他用戶環境中執行代碼。前所未見的跨帳戶接管影響了微軟的Azure容器即服務(Container-as-a-Service;CaaS)平台。研究人員將這一發現命名為Azurescape,因為該攻擊始於容器逃逸,一種使權限提升到容器環境之外的技術。
在Palo Alto Networks將問題報告給微軟安全回應中心(Microsoft Security Response Center;MSRC)後,微軟立即採取行動修復問題。Palo Alto Networks沒有發現任何Azurescape攻擊,但Azure容器實例(Azure Container Instances;ACI)平台的惡意用戶可能已經在無需事先存取的容器環境情況下,利用該漏洞在其他用戶的容器上執行代碼。
Azurescape允許ACI用戶獲得整個容器叢集的管理權。因此,用戶可以接管受影響的多租戶叢集來執行惡意代碼、竊取數據或破壞其他用戶的基礎設施。攻擊者可以完全控制託管其他用戶容器的Azure服務容器,訪問儲存在這些環境中的所有數據和機密。
Azurescape教會我們的雲端資安啟示有哪些?
公有雲通常以多租戶的概念運行。雲端服務供應商在單個平台上構建託管多個組織(或「租戶」)的環境,透過構建大規模的雲端基礎設施,得以在前所未有的經濟規模下,對每個租戶提供安全訪問。
雖然雲端供應商在保護這些多租戶平台方面投入了大量資金,但長期以來,資安專家一直認為可能存在未知的「零日」漏洞,使雲端客戶面臨來自同一雲端基礎架構中其他案例的攻擊風險。
Azurescape 是一個三階段的攻擊;首先,駭客必須突破自己的ACI容器,接下來,於多租戶的Kubernetes叢集取得管理權限。最後,駭客將可以透過執行惡意代碼來控制受影響的容器。
Azurescape的發現突顯雲端用戶需要採取「深度防禦」方法來保護他們的雲端基礎設施,包括持續監控雲平台內外的威脅。同時,也強調了雲端服務供應商需要為外部研究人員提供足夠的訪問權限來研究他們的環境,搜索未知威脅。
作為 Palo Alto Networks 推動公有雲端安全承諾的一部分,Palo Alto Networks積極投資研究,包括公有雲平台和相關技術的進階威脅建模和漏洞測試。
過去幾年,快速的雲端遷移使雲端平台成為駭客的重要目標。雖然Palo Alto Networks長期以來一直專注於識別新的雲端威脅,但首次跨帳戶容器接管的發現顯現了這項工作的重要性。熟練的駭客可能不滿足於以終端用戶為目標,而是可能將攻擊活動擴展到雲端平臺本身以增加影響力和接觸面。
無論威脅來自外部還是來自平臺本身,Palo Alto Networks鼓勵雲端用戶對雲端安全採取「深度防禦」,以確保控制和檢測漏洞。資安左移、執行期間防護以及異常檢測的組合提供了對抗類似跨帳戶攻擊的最佳保護。
關於Palo Alto Networks
Palo Alto Networks是全球網路安全領導者,致力於透過能夠轉變人們與組織運作方式的科技,塑造以雲端為本的未來。我們的目標是成為最佳的網路安全夥伴,保護數位時代的生活方式。我們藉由持續創新,掌握在人工智慧、分析、自動化及協作等各方面的最新突破,來面對當今最大的安全挑戰。Palo Alto Networks站在最前線,透過提供整合平台並成就持續成長的合作夥伴生態系統,為無數企業提供在雲端、網路及行動裝置的保護。我們的願景是創造一個今天比昨天更安全的世界。如欲瞭解更多資訊,請造訪www.paloaltonetworks.com
Palo Alto Networks以及Palo Alto Networks公司、Prisma、 CloudGenix、CloudBlades在美國及全球其他地區的註冊商標。所有本文中出現的其他商標、組織名稱或服務,亦為各公司所擁有。
