在我們向微軟安全響應中心（MSRC）報告這些問題后，微軟立即采取行動修復了這些潛在問題。我們還不知道是否已有Azurescape攻擊發(fā)生，但Azure容器實例（ACI）平臺的惡意用戶有可能利用該漏洞在其他客戶的容器上執(zhí)行代碼，而不需要事先訪問他們的環(huán)境。

　　Azurescape允許ACI用戶獲得對整個容器集群的管理權限。在那里，用戶可以接管受影響的多租戶集群，執(zhí)行惡意代碼，竊取數(shù)據或破壞其他客戶的底層基礎設施。攻擊者可以完全控制那些托管其他客戶容器的Azure服務器，訪問存儲在這些環(huán)境中的所有數(shù)據和保密信息。

　　公有云的運行是基于多租戶的概念。云服務提供商在單個平臺上構建可托管多個組織機構（或“租戶”）的環(huán)境，為每個組織機構提供安全訪問，同時通過建立大規(guī)模云基礎設施，實現(xiàn)前所未有的規(guī)模經濟。

　　雖然云供應商在保護這些多租戶平臺方面投入了大量資金，但長期以來，人們仍然認為未知的“零日”漏洞可能存在，并使客戶面臨來自同一云基礎設施內其他實例的攻擊風險。

　　這一發(fā)現(xiàn)強調了云用戶需要采取“深度防御”策略來保護云基礎設施，包括持續(xù)監(jiān)測云平臺內外部威脅。Azurescape的發(fā)現(xiàn)再次強調了云服務提供商需要為外部研究人員提供足夠訪問權限的重要性，以研究其環(huán)境，探索未知威脅。

　　作為Palo Alto Networks（派拓網絡）推進公有云安全承諾的一部分，我們積極投資相關研究，包括對公有云平臺和相關技術進行高級威脅建模和漏洞測試等。

　　微軟行業(yè)領先的與外部研究人員合作的項目將安全放在首位，并允許在整個Azure進行外部滲透測試。我們很高興該項目為其他供應商樹立了一個很好的榜樣。安全研究合作對于推動和保護正在開發(fā)的云服務，激勵創(chuàng)新至關重要。我們也要感謝MSRC給我們的獎勵。

　　要深入了解我們是如何發(fā)現(xiàn)Azurescape的，建議您閱讀Unit 42博客的完整報告，尋找Azurescape - Azure容器實例中的跨賬戶容器接管。以下是一些關于Azurescape工作原理以及受攻擊后的應對建議：

　　我們不清楚現(xiàn)實中是否已有Azurescape攻擊發(fā)生。該漏洞可能從ACI成立之初就存在，因此有些組織可能已遭受攻擊。Azurescape還攻擊了Azure虛擬網絡中的ACI容器。

　　ACI建立在托管客戶容器的多租戶集群上。最初這些是Kubernetes集群，但在過去一年，微軟也開始在Service Fabric集群上托管ACI。Azurescape只影響在Kubernetes上運行的ACI。我們不知道如何檢查過去的ACI容器是否在Kubernetes上運行。如果您有一個現(xiàn)有容器，您可以運行以下命令來檢查它是否運行在Kubernetes上：

　　Azurescape采用一種三步式攻擊。首先，攻擊者必須突破其ACI容器。其次，他們獲得對多租戶Kubernetes集群的管理權限。第三，他們可以通過執(zhí)行惡意代碼來控制被攻擊容器。

　　我們的研究從容器映像WhoC開始，它可以揭開云平臺的底層容器運行時。通過WhoC，我們發(fā)現(xiàn)可以通過CVE-2019-5736（runC中存在兩年的漏洞）逃離ACI容器。然后，我們能夠確定兩種不同的方法來獲得集群大腦上的代碼執(zhí)行，即api-server。

　　通過在api-server上執(zhí)行代碼，我們可以完全控制多租戶集群。我們可以在客戶容器上執(zhí)行代碼，竊取部署在ACI的客戶機密，甚至可以濫用平臺基礎設施進行加密挖礦。

　　在過去幾年，向云計算的快速遷移讓這些平臺成為惡意攻擊者的首選目標。雖然我們長期以來一直專注于識別新的云威脅，而首次發(fā)現(xiàn)跨賬戶容器接管強調了這項工作的重要性。經驗豐富的攻擊者可能不滿足于針對終端用戶，而是將攻擊活動擴展到平臺本身，以擴大影響和范圍。

　　我們鼓勵云用戶采取“深度防御”策略來實現(xiàn)云安全，以確保漏洞得到控制和檢測，無論威脅來自外部還是來自平臺本身。安全左移、運行時保護以及異常檢測的組合，為打擊類似的跨賬戶攻擊提供了最佳機會。

　　防止任何云環(huán)境受到攻擊的最好方法是實施一個全面的云原生安全平臺，如Prisma Cloud，它能夠檢測和緩解惡意行為，并識別云環(huán)境中的漏洞。了解Prisma Cloud如何在混合和多云環(huán)境中保護基礎設施、應用和數(shù)據。

　　如需了解更多關于Azurescape的信息，請參加由Ariel Zelivansky及Yuval Avrahami主持的網絡研討會， Azurescape：關于微軟的ACI漏洞需要了解哪些內容。

　　作為全球網絡安全領導企業(yè)，Palo Alto Networks（派拓網絡）正借助其先進技術重塑著以云為中心的未來社會，改變著人類和組織運作的方式。我們的使命是成為首選網絡安全伙伴，保護人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破，助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長，我們始終站在安全前沿，在云、網絡以及移動設備方面為數(shù)以萬計的組織保駕護航。我們的愿景是構建一個日益安全的世界。更多內容，敬請登錄Palo Alto Networks（派拓網絡）官網www.paloaltonetworks.com 或中文網站www.paloaltonetworks.cn 。