微软上周三表示，它修复了Azure容器实例(ACI)服务中的一个漏洞，该漏洞可能被恶意行为者用来“访问其他客户的信息”，研究人员称这是“公共云中的首次跨账户容器接管”。

利用这一漏洞，攻击者可以对其他用户的容器执行恶意命令，窃取部署到平台上的客户机密和图像。Windows制造商没有透露任何与该漏洞相关的额外细节，只是受影响的客户“撤销在2021年8月31日之前部署到该平台的任何特权凭证”。

Azure Container Instances是一个托管服务，允许用户在无服务器的云环境中直接运行Docker容器，而不需要使用虚拟机、集群或协调器。

Palo Alto Networks的Unit 42威胁情报团队将该漏洞称为“azuresescape”，指的是攻击者如何利用跨租户技术逃离他们的恶意ACI容器，在多租户Kubernetes集群上升级特权，并通过执行恶意代码控制受影响的容器。

研究人员表示，由于在ACI (runC v1.0.0-rc2)中使用了过时的容器运行时，因此可以利用CVE-2019-5736 (CVSS评分:8.6)逃离容器，并在底层主机上以更高的权限执行代码。

微软表示，已通知部分客户使用运行在与Palo Alto Networks创建的恶意容器相同的Kubernetes集群上的容器进行攻击。据称，该集群托管了100个客户豆荚和大约120个节点，该公司表示，没有证据表明恶意行为者滥用该漏洞实施了现实世界的入侵，并补充称，其调查“显示没有未经授权访问客户数据”。

这是两周内曝光的第二个与Azure相关的缺陷，第一个是一个关键的Cosmos数据库缺陷，该缺陷可能被利用来允许任何Azure用户在没有任何授权的情况下对其他客户的数据库实例进行完全的管理访问。

Unit 42研究人员称:“这一发现强调了云用户需要采取一种‘深度防御’的方法来保护他们的云基础设施，包括对云平台内外的威胁进行持续监控。”“Azurescape的发现也强调了云服务提供商为外部研究人员提供充分访问的必要性，以研究他们的环境，搜索未知的威胁。”

大多数针对云环境的恶意软件都专注于执行恶意代码并完全控制设备、加密劫持和滥用受感染的系统发起DDoS攻击，它们通过避免任何可能向受威胁集群的所有者发出攻击警报的行为(包括加密劫持)，来尽量逃避检测。通过接管容器，进而为进行更广泛的恶意活动提供基础，包括窃取凭证、数据泄露、勒索软件攻击，甚至是灾难性的供应链攻击。

纵观所有恶意软件的攻击方式，绝大多数利用了系统安全漏洞实施网络攻击，从而影响应用程序及整个网络环境。因此降低系统漏洞数量可以有效减少网络受到攻击的机会。数据显示，系统漏洞大多是在开发阶段由代码缺陷造成，在网络安全日益严峻的今天，在软件开发早期实时进行 源代码安全检测查找代码缺陷并修复，可有效降低软件在上线后由安全漏洞带来的风险，规避网络攻击带来的负面影响。Wukong(悟空)静态代码检测工具，从源码开始，为您的软件安全保驾护航!

参读链接：

https://www.woocoom.com/b021.html?id=ca261e9e32a946299638dd00b252d8a8

https://thehackernews.com/2021/09/microsoft-warns-of-cross-account.html