마이크로소프트, Azure Container Instances의 Azurescape 취약점 수정해

 

 

Microsoft fixes Azurescape flaw in Azure Container Instances

마이크로소프트가 악의적인 컨테이너가 다른 사용자의 컨테이너를 인수할 수 있는 Azurescape라는 ACI(Azure Container Instances)의 취약점을 해결했습니다. 

Azure Container Instances는 오케스트레이션 없이 격리된 컨테이너에서 작동할 수 있는 모든 시나리오에 대한 솔루션입니다. 이벤트 기반 애플리케이션을 실행하고, 컨테이너 개발 파이프라인에서 빠르게 배포하고, 데이터 처리 및 빌드 작업을 실행합니다. 

공격자는 이 취약점을 악용하여 다른 사용자의 컨테이너에서 명령을 실행하고 해당 데이터에 액세스할 수 있습니다. 

이 취약점은 최근 이 문제에 대한 기술적 세부 사항을 발표한 Palo Alto Networks의 연구원에 의해 발견되었습니다. 

Palo Alto Networks의 보안 연구원들은 ACI가 가볍고 이식 가능한 컨테이너 런타임인 RunC를 사용한다는 것을 발견했습니다. ACI에서 사용하는 버전은 2016년에 릴리즈된 v1.0.0-rc2이며 적어도 두 가지 컨테이너 이스케이프 문제의 영향을 받았습니다. 

Palo Alto Networks의 보안 연구원은 공격자가 전체 클러스터에 대한 관리자 권한을 얻기 위해 컨테이너를 탈출하는 방법을 보여주는 비디오 PoC를 게시했습니다.

마이크로소프트는 Azure Portal의 서비스 상태 알림을 통해 연구원과 동일한 클러스터에서 실행되는 컨테이너를 고객에게 알렸으며 알림을 받지 못한 경우 이 취약점과 관련하여 필요한 조치가 없다고 밝혔습니다. 

마이크로소프트는 ACI를 보호하기 위해 사전 예방 조치로 알림을 받은 경우 2021년 8월 31일 이전에 플랫폼에 배포된 모든 권한 있는 자격 증명을 취소할 것을 권장했습니다. 또한 Azure Service Health Alerts를 구성하여 이와 같은 중요한 보안 관련 알림을 최신 상태로 유지할 것을 권고했습니다. 

 

 

출처:
https://securityaffairs.co/wordpress/122081/hacking/microsoft-azurescape-flaw.html