Azurescape: Microsoft foi rápida em corrigir falha em seu serviço de Nuvem

A equipe de Inteligência de Ameaças da Unit 42, da empresa de cibersegurança Palo Alto Networks, identificou a primeira vulnerabilidade conhecida que pode permitir que um usuário de um serviço público em Nuvem saía de seu ambiente e execute código em ambientes pertencentes a outros usuários no mesmo serviço público em Nuvem. Esta tomada de controle sem precedentes de contas cruzadas afetou a plataforma CaaS (Container-as-a-Service) Azure da Microsoft. Os pesquisadores chamaram a descoberta de Azurescape, porque o ataque começou a partir de uma fuga de contêineres – uma técnica que permite a escalada de privilégios para fora dos ambientes de contêineres.

A Microsoft tomou medidas rápidas para corrigir os problemas subjacentes assim que foi relatado ao Centro de Resposta de Segurança da Microsoft (MSRC). Não há conhecimento de nenhum ataque Azurescape, mas é possível que um usuário malicioso da plataforma Azure Container Instances (ACI) pode ter explorado a vulnerabilidade para executar código nos contêineres de outros clientes, sem qualquer acesso prévio ao seu ambiente.

Azurescape permite que um usuário ACI obtenha privilégios administrativos sobre um conjunto inteiro de contêineres. A partir daí, o usuário poderia assumir os clusters de multitenant impactados para executar código malicioso, roubar dados ou sabotar a infraestrutura subjacente de outros clientes. O atacante poderia obter controle completo sobre os servidores da Azure que hospedam os contêineres de outros clientes, acessando todos os dados e segredos armazenados nesses ambientes.

Segundo informações, as Nuvens públicas operam sobre um conceito conhecido como multitenancy. Os provedores de serviços em Nuvem constroem ambientes que hospedam múltiplas organizações (ou “inquilinos”) em uma única plataforma, fornecendo acesso seguro a cada uma delas enquanto aproveitam economias de escala sem precedentes através da construção de infraestruturas de nuvens maciças.

Enquanto os provedores de Nuvens investem pesadamente na segurança dessas plataformas multitenant, há muito tempo é visto como inevitável que vulnerabilidades desconhecidas Zero Day poderiam existir e colocar os clientes em risco de ataque de outras instâncias dentro da mesma infraestrutura de Nuvens.

Esta descoberta destaca a necessidade dos usuários de Nuvens adotarem uma abordagem de “defesa em profundidade” para proteger sua infraestrutura de Nuvens que inclui o monitoramento contínuo de ameaças – dentro e fora da plataforma. A descoberta do Azurescape também ressalta a necessidade dos provedores de serviços fornecerem acesso adequado para que pesquisadores externos estudem seus ambientes, procurando por ameaças desconhecidas.

Perguntas e respostas

Fui afetado?
Não há conhecimento de que o Azurescape esteja sendo explorado. É possível que a vulnerabilidade tenha existido desde o início da ACI, portanto há uma chance de que algumas organizações tenham sido afetadas. O Azurescape também afetou os contêineres da ACI nas Redes Virtuais Azure.

A ACI é construída sobre clusters de múltiplos clientes que hospedam containers de clientes. Originalmente esses eram clusters Kubernetes, mas no ano passado a Microsoft começou a hospedar também a ACI em clusters Service Fabric. O Azurescape só afeta a ACI no topo da Kubernetes. Não sabemos de uma maneira de verificar se um contêiner ACI passado era executado em cima de Kuberntetes. Se você tem um contêiner existente, pode executar o seguinte comando para verificar se ele roda em cima de Kuberntetes: az container exec -n <container-name> –exec-command “hostname”

Se o output começar com o wk-caas e o container começou a rodar antes de 31 de agosto de 2021, ele pode ter sido atacado pelo Azuresape.

O que devo fazer se eu achar que fui afetado?
Se você tiver credenciais privilegiadas implementadas na plataforma, recomendamos rotacioná-las e verificar seus logs de acesso para atividades suspeitas. Uma plataforma de segurança nativa da Nuvem pode dar visibilidade a este tipo de atividade e alertar quando apropriado.

Como funcionam os ataques?
O Azurescape é um ataque em três etapas. Primeiro, o atacante deve sair de seu container ACI. Em segundo lugar, eles ganham privilégios administrativos sobre um cluster de Kubernetes multitenant. Terceiro, eles podem assumir o controle dos contêineres impactados executando código malicioso.

A pesquisa da Unit 42 começou com WhoC, uma imagem de contêiner que revela o tempo de execução do contêiner subjacente das plataformas de Nuvem. Através do WhoC, foi descoberto que era possível escapar dos contêineres ACI através da CVE-2019-5736, uma vulnerabilidade de dois anos no runC. Então, foram identificados dois métodos diferentes para obter a execução do código no cluster master, api-server.

Com a execução do código no api-server, se ganha controle total sobre o cluster de multitenant. Assim, se pode executar o código nos contêineres dos clientes, exfiltrar os segredos dos clientes implantados na ACI e possivelmente até mesmo abusar da infraestrutura da plataforma para criptografia.

São esperadas mais vulnerabilidades de aquisição de conta cruzada?
A rápida aceleração da mudança para a nuvem que ocorreu nos últimos anos fez destas plataformas um alvo valioso para atores maliciosos. Enquanto há muito tempo estamos concentrados em identificar novas ameaças de nuvem, a descoberta da primeira aquisição de contêineres por conta cruzada ressalta a importância desse esforço. Atacantes sofisticados podem não estar satisfeitos com o alvo dos usuários finais e podem expandir suas campanhas para as próprias plataformas para aumentar o impacto e o alcance.

Existe alguma maneira de me preparar para vulnerabilidades semelhantes que possam surgir?
Os usuários da Nuvem são encorajados a adotar uma abordagem de “defesa em profundidade” para garantir que as violações sejam contidas e detectadas, quer a ameaça seja externa ou da própria plataforma. Uma combinação de segurança por deslocamento à esquerda (shift-left security) e proteção de tempo de execução e detecção de anomalias apresenta a melhor chance de combater ataques de contas cruzadas similares.

A melhor maneira de prevenir ataques em qualquer ambiente de Nuvem é implementar uma plataforma de segurança nativa abrangente que é capaz de detectar e mitigar comportamentos maliciosos, bem como identificar vulnerabilidades em ambientes de Nuvem.

Serviço
www.paloaltonetworks.com