帕洛阿尔托网络公司(PaloAltoNetworks)首次发现Azurescape漏洞可以导致前所未有的云攻击在同一公共云服务的其他用户的环境中执行代码。前所未有的跨账户接管影响了微软的Azure容器即服务(CaaS)平台。由于攻击始于容器逃逸,研究人员将这一发现命名为Azurescape,这是一种能够从容器环境中提升权限的技术。在我们向Microsoft安全响应中心(MSRC)报告这些问题后,Microsoft立即采取行动修复这些潜在问题。我们尚不知道是否发生了Azurescape攻击,但Azure容器实例(ACI)平台的恶意用户有可能利用此漏洞在其他客户的容器上执行代码,而无需事先访问其环境。Azurescape允许ACI用户获得对整个容器集群的管理权限。从那里,用户可以接管受影响的多租户集群、执行恶意代码、窃取数据或破坏其他客户的底层基础设施。攻击者可以完全控制托管其他客户容器的Azure服务器,访问存储在这些环境中的所有数据和机密信息。Azurescape对云安全的警告公有云的运行基于多租户的概念。云服务提供商构建可以在单个平台上托管多个组织(或“租户”)的环境,为每个组织提供安全访问,同时通过构建大规模云基础设施实现前所未有的规模经济。虽然云供应商在保护这些多租户平台方面投入了大量资金,但长期以来人们一直认为可能存在未知的“零日”漏洞,并使客户面临来自同一云基础设施中其他实例的攻击风险。这一发现凸显了云用户需要采用“纵深防御”策略来保护云基础设施,包括持续监控云平台内部和外部的威胁。Azurescape的调查结果再次强调了云服务提供商为外部研究人员提供足够访问权限以研究其环境和探索未知威胁的重要性。作为PaloAltoNetworks推进公共云安全承诺的一部分,我们积极投资于研究,包括公共云平台和相关技术的高级威胁建模和漏洞测试。Microsoft与外部研究人员的行业领先合作将安全放在首位,并允许跨Azure进行外部渗透测试。我们很高兴这个项目为其他供应商树立了良好的榜样。安全研究方面的合作对于刺激创新以及推动和保护正在开发的云服务至关重要。我们还要感谢MSRC的奖励。Azurescape问题解答为了深入了解我们是如何发现Azurescape的,我建议阅读第42单元博客中的完整报告“寻找Azurescape-Azure容器实例中的跨帐户容器接管”。以下是有关Azurescape的工作原理以及被黑后该怎么办的一些提示:我被黑了吗?我们不知道在现实世界中是否发生过Azurescape攻击。该漏洞可能自ACI成立以来就存在,因此一些组织可能已经受到威胁。Azurescape还攻击了Azure虚拟网络中的ACI容器。ACI建立在托管客户容器的多租户集群上。最初这些是Kubernetes集群,但在过去一年中,Microsoft也开始在ServiceFabric集群上托管ACI。Azurescape只影响在Kubernetes上运行的ACI。我们不知道如何检查过去的ACI容器是否在Kubernetes上运行。如果你有一个现有的容器,你可以运行以下命令来检查它是否在Kubernetes上运行:azcontainerexec-n
