微軟修補可在Azure上接管他人容器的Azurescape漏洞

資安業者Palo Alto Networks周四（9/9）揭露了一個存在於微軟Azure容器即服務（Container-as-a-Service，CaaS）平臺上的安全漏洞，此一被命名為Azurescape漏洞將允許惡意的Azure容器實例（Azure Container Instances，ACI）用戶，突破自己的容器環境，轉而接管他人的容器，並執行任意程式，而微軟已在收到Palo Alto Networks的通知後修補了該漏洞。

微軟是在2017年7月發表ACI，這也是全球首個由主要雲端服務供應商所提供的CaaS服務，使用者可直接於Azure上部署容器，無需自行建置或管理底層架構，最初的ACI只建立在Kubernetes叢集上，但後來微軟新增了Service Fabric叢集，但Azurescape只影響奠基於Kubernetes叢集的ACI。

公有雲平臺通常是在多租戶的概念下運作，亦即在單一平臺上代管了不同組織的服務，並由像是微軟這樣的供應商負責它的底層架構與安全性，例如微軟會確保每個ACI無法攻擊同一平臺上的其它ACI，但Azurescape卻突破了這個限制。

簡單地說，Azurescape是個3步驟的攻擊，駭客首先必須突破自己的ACI容器，再於多租戶的Kubernetes叢集上取得管理權限，這時駭客已經取得了整個容器叢集的管理權，就能執行惡意程式來攻擊其它的容器，存取其它容器的所有資料或破壞其架構。

Palo Alto Networks表示，目前並不知道Azurescape漏洞是否已被開採，且此一漏洞可能在微軟剛推出ACI時便存在，或者已有組織受到影響，且它同時也影響Azure Virtual Networks上的ACI容器。

現有的微軟ACI用戶只要執行「az container exec -n <container-name> --exec-command "hostname"」命令，就能檢查它是在Kubernetes或Service Fabric叢集上運作，假設其回應是以wk-caas開頭，而且於今年8月31日以前便存在，那麼就有可能已經遭到Azurescape攻擊。

不過，根據微軟的說法，並沒有任何跡象表明有任何客戶資料因Azurescape漏洞而外洩，為了謹慎起見，微軟已經通知那些可能受到影響的潛在客戶，建議它們撤銷於8月31日以前所部署的任何特權憑證，若未收到微軟送出的服務健康通知（Service Health Notification），便不必採取任何措施。

Palo Alto Networks認為，雖然雲端供應商投入了龐大的資源，來強化多租戶平臺的安全性，但長期以來資安社群一直認為這些平臺可能存在未知的零時差漏洞，Azurescape的現身除了證實此一理論之外，也突顯了雲端使用者應該採取深度防禦的作法來保護其雲端基礎設施，包括持續於雲端平臺的內外監控威脅，亦透露出雲端服務供應商應該適度地開放外部研究人員調查這些平臺的潛在威脅，如同微軟一樣。