Angriffe auf Public Cloud durch Security-Schwachstelle „Azurescape“

Palo Alto Networks hat mit Azurescape die erste bekannte Schwachstelle aufgedeckt, die es einem Nutzer eines Public-Cloud-Dienstes ermöglichen könnte, aus seiner Umgebung auszubrechen und Code in Umgebungen anderer Nutzer desselben Public-Cloud-Dienstes auszuführen.

Die account-übergreifenden Übernahme (Cross-Account Takeover) mit Azurescape stellt einen neuen Angriffsvektor dar, den Hacker nutzen können, um Cloud-Dienste anzugreifen. Palo Alto Networks erwartet, dass weitere Schwachstellen entdeckt werden, die eine kontoübergreifende Übernahme ermöglichen und  hat die Schwachstelle Azurescape genannt, weil die Ausbruchsmethode in Microsofts Azure Container-as-a-Service (CaaS) Plattform entdeckt wurde.

IT-Security-Forscher Yuval Avrahami entdeckte die Schwachstelle und meldete sie an Microsoft, wo sie nun behoben wurde. Er erhielt von Microsoft zwei Bug Bounty Awards für Entdeckungen im Zusammenhang mit Azurescape.

Was Unternehmen über Azurescape wissen müssen

Unit 42, das Threat Intelligence-Team von Palo Alto Networks, hat die erste bekannte Schwachstelle identifiziert, die es einem Benutzer eines Public-Cloud-Dienstes ermöglicht, aus seiner Umgebung auszubrechen und Code in Umgebungen auszuführen, die anderen Benutzern desselben Public-Cloud-Dienstes gehören. Diese noch nie dagewesene kontoübergreifende Übernahme betraf Microsofts Azure Container-as-a-Service (CaaS)-Plattform. Die Forscher nannten die Entdeckung „Azurescape“, weil der Angriff von einem Container-Escape ausging – einer Technik, die eine Privilegienerweiterung aus Container-Umgebungen heraus ermöglicht.

Microsoft hat schnell gehandelt, um die zugrundeliegenden Probleme zu beheben, sobald Unit 42 sie dem Microsoft Security Response Center (MSRC) gemeldet hatten. Unit 42 sind keine Azurescape-Angriffe in freier Wildbahn bekannt. Es ist dennoch möglich, dass ein böswilliger Benutzer der Azure Container Instances (ACI)-Plattform die Schwachstelle ausgenutzt hat, um Code auf den Containern anderer Kunden auszuführen, ohne dass diese zuvor Zugriff auf ihre Umgebung hatten.

Azurescape ermöglicht es einem ACI-Benutzer, administrative Rechte für einen ganzen Container-Cluster zu erlangen. Von dort aus könnte der Benutzer die betroffenen mandantenfähigen Cluster übernehmen, um bösartigen Code auszuführen, Daten zu stehlen oder die zugrundeliegende Infrastruktur anderer Kunden zu sabotieren. Der Angreifer könnte die vollständige Kontrolle über Azure-Server erlangen, die Container anderer Kunden hosten, und auf alle in diesen Umgebungen gespeicherten Daten und Geheimnisse zugreifen.

Was Azurescape über die Cloud-Sicherheit verrät

Public Clouds beruhen auf einem Konzept, das als Multitenancy bekannt ist. Cloud-Serviceprovider bauen Umgebungen auf, die mehrere Unternehmenskunden (oder „Tenants“/„Mieter“) auf einer einzigen Plattform beherbergen. Sie bieten jedem einen sicheren Zugang, während sie durch den Aufbau massiver Cloud-Infrastrukturen beispiellose Größenvorteile nutzen.

Obwohl Cloud-Anbieter viel in die Sicherung dieser mandantenfähigen Plattformen investieren, gilt es seit langem als unvermeidlich, dass unbekannte „Zero Day“-Schwachstellen existieren und Kunden dem Risiko eines Angriffs von anderen Instanzen innerhalb derselben Cloud-Infrastruktur aus aussetzen könnten.

Diese Entdeckung unterstreicht die Notwendigkeit für Cloud-Nutzer, einen „Defense-in-Depth“-Ansatz zur Sicherung ihrer Cloud-Infrastruktur zu verfolgen, der eine kontinuierliche Überwachung auf Bedrohungen – innerhalb und außerhalb der Cloud-Plattform – beinhaltet. Die Entdeckung von Azurescape unterstreicht auch die Notwendigkeit für Cloud-Serviceprovider, externen Forschern angemessenen Zugang zu gewähren, um ihre Umgebungen auf der Suche nach unbekannten Bedrohungen zu untersuchen.

Fragen und Antworten zu Azurescape

Weitere Details, wie Unit 42 Azurescape entdeckt hat, liefert der vollständige Bericht im Unit 42 Blog „Finding Azurescape – Cross-Account Container Takeover in Azure Container Instances“ zu lesen. Hier sind ein paar kurze Fakten darüber, wie Azurescape funktioniert und was zu tun ist, wenn Sie betroffen sind:

War ich betroffen?

Unit 42 hat keine Kenntnis davon, dass Azurescape in freier Wildbahn ausgenutzt wurde. Es ist möglich, dass die Schwachstelle bereits seit der Einführung von ACI bestand und somit einige Unternehmen betroffen waren. Azurescape betraf auch ACI-Container in Azure Virtual Networks.

ACI basiert auf mandantenfähigen Clustern, die Kundencontainer hosten. Ursprünglich waren dies Kubernetes-Cluster, aber im letzten Jahr hat Microsoft damit begonnen, ACI auch auf Service-Fabric-Clustern zu hosten. Azurescape betrifft nur ACI auf Kubernetes. Unit 42 ist keine Möglichkeit bekannt, zu überprüfen, ob ein früherer ACI-Container auf Kubernetes lief.

Wenn Sie einen bestehenden Container haben, können Sie den folgenden Befehl ausführen, um zu prüfen, ob er auf Kubernetes läuft:

az container exec -n <container-name> –exec-command „hostname“

Wenn der Output mit wk-caas beginnt und der Container vor dem 31. August 2021 in Betrieb genommen wurde, könnte er von Azurescape angegriffen worden sein.

Was sollte ich tun, wenn ich glaube, dass ich betroffen bin?

Wenn Sie privilegierte Zugangsdaten auf der Plattform bereitgestellt haben, empfiehlt Unit 42, diese zu rotieren und die Zugriffsprotokolle auf verdächtige Aktivitäten zu überprüfen. Eine cloudbasierte Sicherheitsplattform wie Prisma Cloud kann diese Art von Aktivitäten sichtbar machen und gegebenenfalls Alarm schlagen.

Wie funktionieren die Angriffe?

Azurescape ist ein dreistufiger Angriff. Zunächst muss der Angreifer aus seinem ACI-Container ausbrechen. Zweitens erlangt er administrative Berechtigungen für einen mandantenfähigen Kubernetes-Cluster. Drittens kann er die Kontrolle über die betroffenen Container übernehmen, indem er bösartigen Code ausführt.

Die Forschung begann mit WhoC, einem Container-Image, das die zugrundeliegende Container-Laufzeit von Cloud-Plattformen aufdeckt. Durch WhoC entdeckten die Forscher, dass es möglich war, ACI-Container über CVE-2019-5736, eine zwei Jahre alte Schwachstelle in runC, zu umgehen. Die Forscher konnten dann zwei verschiedene Methoden identifizieren, um Codeausführung auf dem Gehirn des Clusters, dem API-Server, zu erreichen.

Mit der Codeausführung auf dem api-Server hatten die Forscher die vollständige Kontrolle über den mandantenfähigen Cluster. Sie konnten Code auf Kundencontainern ausführen, Kundengeheimnisse, die auf ACI bereitgestellt wurden, ausspähen und möglicherweise sogar die Infrastruktur der Plattform für Cryptomining missbrauchen.

Sind weitere Schwachstellen zu erwarten, die eine kontoübergreifende Übernahme ermöglichen?

Die rasante Beschleunigung der Verlagerung in die Cloud in den letzten Jahren hat diese Plattformen zu einem bevorzugten Ziel für böswillige Akteure gemacht. Während sich Palo Alto Networks schon lange auf die Identifizierung neuer Cloud-Bedrohungen konzentriert, unterstreicht die Entdeckung der ersten kontoübergreifenden Containerübernahme die Bedeutung dieser Bemühungen. Raffinierte Angreifer geben sich möglicherweise nicht damit zufrieden, Endbenutzer ins Visier zu nehmen, sondern weiten ihre Kampagnen auf die Plattformen selbst aus, um ihre Wirkung und Reichweite zu erhöhen.

Kann ich mich auf ähnliche Schwachstellen vorbereiten, die auftreten könnten?

Cloud-Nutzer sollten einen „Defense-in-Depth“-Ansatz für die Cloud-Sicherheit verfolgen, um sicherzustellen, dass Sicherheitsverletzungen eingedämmt und entdeckt werden, unabhängig davon, ob die Bedrohung von außen oder von der Plattform selbst ausgeht. Eine Kombination aus Shift-Left-Sicherheit, Laufzeitschutz und Anomalie-Erkennung bietet die beste Chance, ähnliche kontoübergreifende Angriffe zu bekämpfen.

Themenseiten: Microsoft Azure, Palo Alto Networks

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Angriffe auf Public Cloud durch Security-Schwachstelle „Azurescape“

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *