Après avoir reçu un avertissement des chercheurs en cybersécurité de l'Unité 42, une division de Palo Alto Networks, Microsoft a publié un correctif pour une vulnérabilité de haute gravité trouvée dans Service Fabric.
En publiant un article de blog (s'ouvre dans un nouvel onglet) pour expliquer ce qui s'est passé, Microsoft a déclaré que la vulnérabilité permettait aux acteurs potentiels de la menace d'obtenir des privilèges de tour sur un nœud, leur permettant en outre de prendre le contrôle complet des autres nœuds du cluster.
Suivie sous le nom de CVE-2022-30137, la faille a été nommée "FabricScape" et n'est présente que dans les conteneurs Linux. Windows semble avoir esquivé la balle, car les acteurs non privilégiés ne peuvent pas créer de liens symboliques dans le système d'exploitation.
Accéder aux charges de travail conteneurisées
Microsoft décrit Service Fabric comme "l'orchestrateur de conteneurs d'entreprise pour le déploiement et la gestion de microservices sur un groupe de machines".
Service Fabric est capable de déployer des applications en quelques secondes, à haute densité, avec des milliers d'applications ou de conteneurs par machine. Aujourd'hui, il héberge plus d'un million d'applications et alimente des services importants tels qu'Azure SQL Database ou Azure CosmosDB, a rapporté SiliconAngle.
Heureusement, exploiter la faille nécessiterait une certaine préparation ; l'attaquant devrait d'abord compromettre une charge de travail conteneurisée, déployée par le propriétaire d'un cluster Linux SF. Le code hostile s'exécutant à l'intérieur du conteneur doit alors remplacer un fichier d'index lu par l'agent de collecte de diagnostics SF (DCA) par un lien symbolique.
"En utilisant une attaque temporelle supplémentaire, un attaquant pourrait prendre le contrôle de la machine hébergeant le nœud SF", a expliqué Microsoft.
Il semblerait que la faille n'ait pas encore été exploitée dans la nature, mais les chercheurs exhortent les utilisateurs à la corriger immédiatement, compte tenu de la gravité de la faille.
Le correctif est disponible à partir du 26 mai 2022 et a été automatiquement appliqué à tous ceux qui ont activé les mises à jour automatiques.
Via SiliconAngle (ouvre dans un nouvel onglet)