Microsoft, Azure Container’ların Ele Geçrilmesini Sağlayan Zafiyeti Kapattı

Microsoft, Azure Container Instances’larında zafiyet içeren container’ın platformdaki diğer müşterilere ait container’ları ele geçirmesine izin veren Azurescape adlı bir güvenlik açığını düzeltti. Araştırmacılar, Azurescape’i kullanan saldırganın diğer kullanıcıların container’larında komutlar yürütebileceğini ve platforma dağıtılan tüm verilerine erişebileceğini belirtiyor.

Microsoft, Azurescape’den potansiyel olarak etkilenen müşterilere 31 Ağustos’tan önce platforma dağıtılan container’lar için kimlik bilgilerini değiştirmeleri gerektiğini belirtti. Microsoft, “Service Health Notification almadıysanız herhangi bir işlem yapmanız gerekmez” şeklinde bir açıklama yaptı.

Microsoft’un Azure Container Instances (ACI), şirketlerin bulutta paketlenmiş uygulamaları (container) dağıtmasına olanak tanıyan bulut tabanlı bir hizmet.

Palo Alto Networks, saldırıyı göstermek için bir saldırganın tüm cluster için yönetici ayrıcalıkları elde etmek için container’dan nasıl ayrılabileceğini gösteren bir video yayınladı.

Kaynak: bleepingcomputer.com

Exit mobile version