微软修补可在Azure上接管他人容器的Azurescape漏洞

资安业者Palo Alto Networks周四（9/9）揭露了一个存在于微软Azure容器即服务（Container-as-a-Service，CaaS）平台上的安全漏洞，此一被命名为Azurescape漏洞将允许恶意的Azure容器实例（Azure Container Instances，ACI）用户，突破自己的容器环境，转而接管他人的容器，并执行任意程式，而微软已在收到Palo Alto Networks的通知后修补了该漏洞。

微软是在2017年7月发表ACI，这也是全球首个由主要云端服务供应商所提供的CaaS服务，使用者可直接于Azure上部署容器，无需自行建置或管理底层架构，最初的ACI只建立在Kubernetes丛集上，但后来微软新增了Service Fabric丛集，但Azurescape只影响奠基于Kubernetes丛集的ACI。

公有云平台通常是在多租户的概念下运作，亦即在单一平台上代管了不同组织的服务，并由像是微软这样的供应商负责它的底层架构与安全性，例如微软会确保每个ACI无法攻击同一平台上的其它ACI，但Azurescape却突破了这个限制。

简单地说，Azurescape是个3步骤的攻击，骇客首先必须突破自己的ACI容器，再于多租户的Kubernetes丛集上取得管理权限，这时骇客已经取得了整个容器丛集的管理权，就能执行恶意程式来攻击其它的容器，存取其它容器的所有资料或破坏其架构。

Palo Alto Networks表示，目前并不知道Azurescape漏洞是否已被开采，且此一漏洞可能在微软刚推出ACI时便存在，或者已有组织受到影响，且它同时也影响Azure Virtual Networks上的ACI容器。

现有的微软ACI用户只要执行“az container exec -n --exec-command "hostname"”命令，就能检查它是在Kubernetes或Service Fabric丛集上运作，假设其回应是以wk-caas开头，而且于今年8月31日以前便存在，那么就有可能已经遭到Azurescape攻击。

不过，根据微软的说法，并没有任何迹象表明有任何客户资料因Azurescape漏洞而外泄，为了谨慎起见，微软已经通知那些可能受到影响的潜在客户，建议它们撤销于8月31日以前所部署的任何特权凭证，若未收到微软送出的服务健康通知（Service Health Notification），便不必采取任何措施。

Palo Alto Networks认为，虽然云端供应商投入了庞大的资源，来强化多租户平台的安全性，但长期以来资安社群一直认为这些平台可能存在未知的零时差漏洞，Azurescape的现身除了证实此一理论之外，也突显了云端使用者应该采取深度防御的作法来保护其云端基础设施，包括持续于云端平台的内外监控威胁，亦透露出云端服务供应商应该适度地开放外部研究人员调查这些平台的潜在威胁，如同微软一样。