Ciberseguridad
Nube
Microsoft

Palo Alto Networks se une a Microsoft para solucionar la vulnerabilidad de los contenedores

Microsoft ha anunciado la reparación de una grave vulnerabilidad en su Service Fabric descubierta por los investigadores de Unit 42 de Palo Alto Networks.

contenedores aéreo

Microsoft ha revelado que ha reparado una vulnerabilidad de gravedad importante en el Service Fabric de la compañía, un proyecto de infraestructura desarrollado para alojar aplicaciones en contenedores y máquinas virtuales, que alimenta servicios de Azure y Microsoft.

Esta vulnerabilidad, bautizada como FabricScape, ha sido descubierta por el grupo de investigación de amenazas Unit 42 de Palo Alto Networks, que ha publicado recientemente en un blog de investigación su descripción. Catalogada como  muy grave, el equipo de investigación de la nube la descubrió en el Service Fabric de código abierto, una infraestructura para el alojamiento de aplicaciones en contenedores y máquinas virtuales de Microsoft, en el que muchas organizaciones confían para sus despliegues en la nube.

Una vez descubierta y asignada como CVE-2022-30137, el  equipo de Palo Alto Networks se puso en contacto con Microsoft tras darse cuenta de que afectaba a Azure Service Fabric. Tras la alerta, Unit 42 se asoció con el Centro de respuestas de seguridad de Microsoft (MSRC) para desarrollar una solución. FabricScape ha sido catalogada de importante gravedad porque permitía a los hackers tomar el control de todos los contenedores de un mismo clúster "escapando" de un único contenedor comprometido. Unit 42 ha tranquilizado a los usuarios de los servicios de Microsoft al reconocer que no tiene conocimiento de ningún ataque "in the wild".

Como parte de una revisión en profundidad de la seguridad de la infraestructura de la nube de Azure, el investigador de Unit 42, Aviv Sasson, descubrió que Service Fabric puede ser susceptible a un escape de contenedor y una adquisición de clúster. A partir de ese momento, Aviv probó el problema en Azure Service Fabric y pudo elevar los privilegios y finalmente obtener acceso administrativo al clúster de Service Fabric.

La publicación de detalles sobre esta desprotección es parte de los esfuerzos que Palo Alto Networks, el equipo de Prisma Cloud y Unit 42 hacen constantemente con el fin de mejorar la seguridad de la nube pública, y para generar conciencia sobre las posibles amenazas a los entornos de nube. La política de los investigadores de Unit 42 es analizar el software de código abierto y la infraestructura de la nube de forma continua para identificar nuevas vulnerabilidades y amenazas emergentes.

 

Características de FabricScape

FabricScape podría permitir que actores malintencionados se apoderen de los entornos de alojamiento de Linux o que un contenedor comprometido escape y se haga cargo del clúster que lo ejecuta. Los contenedores pueden volverse maliciosos si se ingresan a través de una vulnerabilidad conocida o una vulnerabilidad de día cero, o mediante un ataque a la cadena de suministro, como un error tipográfico o un paquete malicioso.

Según explican sus descubridores, una vez explotado FabricScape podría permitir a los adversarios aumentar los privilegios para obtener el control total de todo el clúster. Desde allí, los atacantes podrían realizar movimientos laterales y robar, manipular o destruir los datos de una organización. Los atacantes podrían incluso cerrar todo el clúster, provocando un ataque de denegación de servicio. Una toma de control de varios inquilinos solo es posible con FabricScape si una organización usa Service Fabric para hospedar varios inquilinos en el mismo clúster. Afortunadamente, no fue posible una adquisición multiinquilino en los servicios de Azure que probó la Unidad 42, ya que Microsoft deshabilitó el acceso al tiempo de ejecución.

Aunque los investigadores reconocen que no tienen constancia de que se haya producido ningún ataque a través de la explotación de esta vulnerabilidad, cabe recordar la importancia de Service Fabric como software de código abierto que impulsa muchos servicios de Azure y Microsoft, como Azure Cosmos DB y Azure SQL Database, y que aloja más de un millón de aplicaciones y ejecuta millones de núcleos diariamente. Cualquier ataque podría haber sido desastroso.

Las organizaciones que ejecutan clústeres de Linux Service Fabric deben verificar su versión de clúster y verificar que la versión sea al menos 9.0.1035.1. Cualquier aplicación que funcione con un clúster Linux de Service Fabric con acceso en tiempo de ejecución, que se concede de forma predeterminada, se verá afectada. Las organizaciones que usan ofertas de Azure que se basan en clústeres de Service Fabric administrados están seguras, ya que Microsoft actualizó sus implementaciones antes del anuncio.

 

Parecido con Azurescape

FabricScape es muy similar a la ya conocida Azurescape, ya que ambas vulnerabilidades permiten obtener privilegios administrativos de un clúster. Azurescape describe una vulnerabilidad en Azure, la plataforma en la nube de Microsoft, que podría haber causado una toma de control completa de los entornos en la nube conocidos como "clústeres". El equipo de investigación descubrió la vulnerabilidad y colaboró con Microsoft para resolverla rápidamente. Unit 42 y Microsoft no tienen conocimiento de que esta vulnerabilidad se esté explotando actualmente.

Para solucionar FabricScape, los investigadores recomiendan que los clientes que ejecutan Azure Service Fabric sin las actualizaciones automáticas habilitadas actualicen sus clústeres de Linux a la versión más reciente de Service Fabric. Los clientes cuyos clústeres de Linux se actualizan automáticamente no necesitan realizar más acciones.

Microsoft y Palo Alto Networks indican también evitar la ejecución de aplicaciones que no sean de confianza en Service Fabric. Por su parte, los clientes de Palo Alto Networks que ejecutan Prisma Cloud están protegidos contra esta vulnerabilidad en varias capas:

  • La función Host Runtime Protection identifica anomalías en las máquinas virtuales y protege contra actividades maliciosas. Esta característica podría detectar a los atacantes que ejecutan cargas útiles maliciosas en los hosts después de escapar de un contenedor de Service Fabric.
  • Las imágenes de confianza se pueden usar para garantizar que no se ejecuten contenedores maliciosos, lo que reduce la posibilidad de que un contenedor de Service Fabric se vea comprometido.
  • La gestión de vulnerabilidades de Prisma Cloud se puede utilizar para garantizar que los contenedores no se violen debido a vulnerabilidades conocidas en las imágenes de los contenedores. Los usuarios de Prisma Cloud obtienen visibilidad de las vulnerabilidades conocidas en sus contenedores y hosts con su flujo de inteligencia exhaustivo.

No obstante, desde Unit 42 recomiendan a los usuarios de la nube adoptar un enfoque de defensa en profundidad para su seguridad y garantizar que las infracciones se contengan y detecten, bien porque la amenaza provenga del exterior o de la plataforma misma. Una combinación de seguridad de turno a la izquierda y protección en tiempo de ejecución y detección de anomalías puede ser la mejor oportunidad de combatir ataques similares.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper