Azurescape permite executar código em nuvem de terceiros

Vulnerabilidade pode permitir que o usuário de um serviço de nuvem pública saia de seu ambiente e execute código em ambientes pertencentes a outros usuários da mesma nuvem
Da Redação
10/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A equipe de pesquisa em nuvem da Palo Alto Networks descobriu a primeira vulnerabilidade que pode permitir que o usuário de um serviço de nuvem pública saia de seu ambiente e execute código em ambientes pertencentes a outros usuários da mesma nuvem. Batizado de Azurescape, já que o método conhecido como “escape” foi descoberto na plataforma Azure Container-as-a-Service (CaaS) da Microsoft, esse tipo de controle de conta cruzada representa um novo vetor de ataque que hackers podem usar para direcionar os serviços em nuvem.

O pesquisador da Unit 42, da Palo Alto Networks, Yuval Avrahami, que descobriu a vulnerabilidade, relatou-a à Microsoft, que a corrigiu o problema assim que foi relatado ao Centro de Resposta de Segurança (MSRC). Não há evidências de que tenha havido algum ataque Azurescape, mas é possível que um usuário malicioso da plataforma possa ter explorado a vulnerabilidade para executar código nos contêineres de outros clientes, sem qualquer acesso prévio ao seu ambiente.

A técnica Azurescape permite que um usuário do Azure Container Instances (ACI) privilégios administrativos sobre um conjunto inteiro de contêineres. A partir daí, ele poderia assumir os clusters multitenancy impactados para executar código malicioso, roubar dados ou sabotar a infraestrutura subjacente de outros clientes. O atacante poderia obter controle completo sobre os servidores do Azure que hospedam os contêineres de outros clientes, acessando todos os dados e segredos armazenados nesses ambientes.

As nuvens públicas operam sob o conceito conhecido como multitenancy. Os provedores de serviços em nuvem constroem ambientes que hospedam múltiplas organizações (ou “inquilinos”) em uma única plataforma, fornecendo acesso seguro a cada uma delas enquanto aproveitam economias de escala sem precedentes através da construção de infraestruturas de nuvens maciças.

Veja isso
Duas falhas no Azure App Services reparadas pela Microsoft
Microsoft Teams e portal do Azure falharam autenticação durante 14h

Enquanto os provedores de nuvens investem pesadamente na segurança dessas plataformas multitenancy, há muito tempo é visto como inevitável que vulnerabilidades desconhecidas de dia zero poderiam existir e colocar os clientes em risco de ataque de outras instâncias dentro da mesma infraestrutura de nuvens.

A descoberta do Azurescape destaca a necessidade de os usuários de nuvens adotarem uma abordagem de “defesa em profundidade” para proteger sua infraestrutura de nuvens que inclui o monitoramento contínuo de ameaças – dentro e fora da plataforma de nuvens. Ela também indica a necessidade de os provedores de serviços de nuvem fornecerem acesso adequado para que pesquisadores externos estudem seus ambientes, procurando por ameaças desconhecidas.

A Palo Alto recomenda a quem tiver credenciais privilegiadas implantadas na plataforma rotacioná-las e verificar seus logs de acesso para atividades suspeitas. Uma plataforma de segurança nativa da nuvem pode dar visibilidade a este tipo de atividade e alertar quando apropriado. 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest