El nuevo error de escape del contenedor Docker afecta las funciones de Microsoft Azure

El nuevo error de escape del contenedor Docker afecta las funciones de Microsoft Azure

El investigador de ciberseguridad Paul Litvak reveló hoy una vulnerabilidad sin parchear en Microsoft Azure Functions que podría ser utilizada por un atacante para escalar privilegios y escapar del contenedor Docker utilizado para alojarlos.

Los hallazgos vienen como parte de Laboratorio Intezerinvestigaciones sobre la infraestructura informática de Azure.

Tras la divulgación a Microsoft, se dice que el fabricante de Windows «determinó que la vulnerabilidad no tiene ningún impacto en la seguridad de los usuarios de la función, ya que el host en sí todavía está protegido por otro límite de defensa contra la posición elevada que alcanzamos en el host contenedor».

Funciones de Azure, análoga a Amazon AWS Lambda, es una solución sin servidor que permite a los usuarios ejecutar código desencadenado por eventos sin tener que aprovisionar o administrar la infraestructura de forma explícita y, al mismo tiempo, hacer posible escalar y asignar recursos informáticos y según la demanda.

Al incorporar Docker en la combinación, los desarrolladores pueden implementar y ejecutar fácilmente Azure Functions en la nube o en las instalaciones.

Dado que el código de activación es un evento (por ejemplo, una solicitud HTTP) que está configurado para llamar a una función de Azure, los investigadores primero crearon un Disparador HTTP para hacerse un hueco sobre el contenedor de funciones, utilizándolo para encontrar sockets que pertenecen a procesos con privilegios «root».

A partir de ahí, se identificó que uno de esos procesos privilegiados asociado con un binario «Mesh» contenía una falla que podría explotarse para otorgar al usuario de la «aplicación» que ejecuta los permisos de raíz de la función anterior.

Si bien el binario Mesh en sí mismo tenía poca o ninguna documentación para explicar su propósito, los investigadores de Intezer encontraron referencias a él en un imagen pública de Docker, que utilizaron para realizar ingeniería inversa y lograr una escalada de privilegios.

En el paso final, los privilegios extendidos asignados al contenedor (usando el «–privilegiado«bandera) fueron abusados ​​para escapar del contenedor Docker y ejecute un comando arbitrario en el host.

Intezer también tiene liberado un código de explotación de prueba de concepto (PoC) en GitHub para probar el entorno de host de Docker.

«Ejemplos como este subrayan que las vulnerabilidades a veces están fuera del control del usuario de la nube», dijeron los investigadores de Intezer Labs. «Los atacantes pueden encontrar una forma de entrar a través de software vulnerable de terceros.

«Es fundamental que disponga de medidas de protección para detectar y terminar cuando el atacante ejecuta código no autorizado en su entorno de producción. Esto Mentalidad Zero Trust incluso se hace eco de Microsoft «.

Escrito por Òscar Lombio

Siempre a la última. Cualquier noticia que esté relacionada con gadgets, tecnología o grandes corporaciones, ahí está el, al pie del cañón para informarnos

Loading…

0
El malware de cripto minería de Linux evade la detección usando una herramienta de código abierto
El malware de Linux utiliza una herramienta de código abierto para evadir la detección
Principales amenazas de ciberseguridad a tener en cuenta en 2021
Principales amenazas de ciberseguridad a tener en cuenta en 2021