聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
SF 是業務關鍵應用平台,託管了100多萬款應用,同時還為很多微軟產品提供動力,包括但不限於 Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business、Cortana、Microsoft Power BI以及很多核心 Azure 服務。
該缺陷的編號為CVE-2022-30137,是由Palo Alto Networks 公司 Unit 42 團隊的研究員發現的,他們還在1月30日將漏洞告知微軟。該漏洞是因為Data Collection Agent (DCA) Service Fabric 組件中的條件競爭任意寫造成的,可導致攻擊者創建符號鏈接獲得代碼執行權限,以惡意內容覆寫節點文件系統中的文件。
微軟建議稱,「微軟推薦用戶繼續檢查所有的可訪問主機集群的容器化工作負載(Linux 和 Windows)。在默認情況下,SF集群是一個單租戶環境,因此應用程序之間並無隔離。可通過 Azure Service Fabric 安全最佳實踐頁面創建隔離以及關於託管不受信任代碼的其它指南。」
微軟在6月14日發布微軟 Azure Service Fabric 9.0 累積更新,修復了該漏洞。從6月14日開始,修複方案已自動推送至 Linux 集群。在 Linux 集群上啟用了自動更新的客戶無需採取其它措施。
不過,建議未安裝自動更新的 Azure Service Fabric 的用戶,儘快將 Linux 集群更新至 Service Fabric 發布的最新版本。
研究人員表示,「雖然我們並未發現在野攻擊跡象,但仍然督促組織機構立即行動起來,判斷環境是否易受攻擊並且如果遭攻擊則快速打補丁。」
微軟表示,已通過 Zure Service Health 發送門戶通知,將自動更新推送給尚未啟用自動更新的客戶。
https://www.bleepingcomputer.com/news/security/microsoft-azure-fabricscape-bug-let-hackers-hijack-linux-clusters/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表