Уязвимость ACI позволяла угонять контейнеры в облаке Azure

Татьяна Никитина 10 Сентября 2021 - 17:40

...

Корпорация Microsoft пофиксила облачную службу Azure Container Instances (ACI), закрыв возможность получения неавторизованного доступа к контейнерам других пользователей в пределах кластера Kubernetes. Данных об использовании новой проблемы со злым умыслом нет; затронутым подписчикам настоятельно рекомендуется отозвать ключи к привилегированным аккаунтам, введенные в оборот ранее 31 августа 2021 года.

Служба ACI позволяет запускать контейнеры в среде бессерверной обработки данных — пользователю не нужно в этом случае заботиться об инфраструктуре. При этом в целях безопасности соблюдается строгое разграничение клиентских групп контейнеров (модулей) в кластере.

Уязвимость, которую в Palo Alto Networks нарекли Azurescape, позволяет, по их словам, захватить контроль над многоклиентским кластером Kubernetes и выполнять вредоносные команды на разных узлах, а также воровать секретные данные и ISO-образы из чужих контейнеров. Для этого нужно лишь иметь аккаунт пользователя в том же кластере.

Как оказалось, в качестве инструмента для запуска контейнеров через ACI публичное облако Azure использует runC версии 1.0.0-rc2. Этому коду скоро минет пять лет, он содержит известную уязвимость (CVE-2019-5736), позволяющую выйти за пределы контейнера.

Разработанная в Palo Alto атака проводится в несколько этапов:

загрузка образа с эксплойтом в облако;
побег из контейнера;
захват контроля над хост-системой (обратный шелл с root-доступом);
поиск в пространстве имен токена, обеспечивающего привилегированный доступ ко всем модулям Kubernetes;
захват контроля над целевыми контейнерами.

Исследователи также обнаружили в инфраструктуре ACI еще одну уязвимость — SSRF (возможность подмены запросов на стороне сервера). Ее эксплойт тоже грозит перехватом админ-контроля над многоклиентским кластером.

Атака Azurescape возможна только против Kubernetes. По оценке Palo Alto, такие кластеры Azure содержат около 37% недавно загруженных контейнеров, запускаемых с помощью ACI (в прошлом году Microsoft начала развертывать эту службу также в кластерах Service Fabric).

Разработчик сообщил, что проблема решена, затронутые пользователи получили нотификации, остальным беспокоиться не о чем. Мнительным клиентам Azure рекомендуется периодически сменять пароли к привилегированным аккаунтам.

Это уже вторая проблема Azure, обнародованная за последние две недели. В конце августа баг-хантеры из Wiz опубликовали подробности атаки на сервис Cosmos DB, позволившей им получить доступ к базам данных клиентов Microsoft.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 16:25

Домашние пользователи

Энтузиаст собрал «идеальную» PlayStation, объединив две версии консоли

Пока одни ностальгируют по первой PlayStation, другие берут паяльник и пытаются сделать её лучше, чем она когда-либо была. Именно этим занялся моддер с ником thedrew (он же Secret Hobbyist), который решил собрать «идеальную» PS1, объединив сразу две версии консоли.

Напомним, оригинальная PlayStation вышла в 1994 году и задала тон всей индустрии 3D-игр.

А спустя несколько лет появилась компактная PS One — более энергоэффективная и холодная, но с упрощённой аудиосистемой. В итоге у каждой версии были свои плюсы и минусы. И вот теперь энтузиаст решил взять от них всё лучшее.

В новой гибридной консоли он использовал процессор, графику и память от PS One за их энергоэффективность. А вот аудиочип, контроллер CD-привода и BIOS позаимствовал у оригинальной PS1, чтобы сохранить качество звука и совместимость.

Всё это надо было не просто «скрутить проводами», а аккуратно пересобрать на собственной плате. Моддер выпаял нужные чипы с обеих консолей и перенёс их на кастомный PCB, фактически создав новую материнскую плату с нуля.

Но на этом он не остановился. В проект сразу встроили ещё два популярных мода. Первый — XStation, который позволяет запускать игры с microSD вместо дисков. Второй — HDMI-мод с FPGA, подключающийся напрямую к GPU и выдающий картинку вплоть до 1080p (с апскейлом с 480p). Причём даже с эффектом сканлайнов, как на старых CRT-телевизорах.

В итоге получилась компактная и очень экономичная система: вся плата потребляет меньше 2 ватт и работает от 3 вольт. По сути, это уже задел под портативную версию консоли.

Правда, проект пока ещё не завершён. Корпуса нет, питание подаётся «напрямую» через зажимы, а некоторые элементы вроде разъёма для карты памяти пока висят на проводах. Но главное — консоль уже работает, а игры на ней запускаются без проблем.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!