Peneliti keamanan siber dari Palo Alto Networks Unit 42 mengungkapkan rincian kelemahan keamanan baru yang memengaruhi Service Fabric Microsoft yang dapat dieksploitasi untuk mendapatkan izin yang lebih tinggi dan menguasai semua node dalam sebuah cluster.
Masalah, yang telah dijuluki KainScape (CVE-2022-30137), dapat dieksploitasi pada container yang dikonfigurasi untuk memiliki akses runtime. Ini telah diperbaiki pada 14 Juni 2022, di Service Fabric 9.0 Cumulative Update 1.0.
Azure Service Fabric adalah platform-as-a-service (PaaS) Microsoft dan solusi container orchestrator yang digunakan untuk membangun dan menyebarkan aplikasi cloud berbasis layanan mikro di sekelompok mesin.
“Kerentanan memungkinkan aktor jahat, dengan akses ke wadah yang disusupi, untuk meningkatkan hak istimewa dan mendapatkan kendali atas node SF host sumber daya dan seluruh cluster,” kata Microsoft sebagai bagian dari proses pengungkapan terkoordinasi.
“Meskipun bug ada di kedua platform Sistem Operasi (OS), itu hanya dapat dieksploitasi di Linux; Windows telah diperiksa secara menyeluruh dan ditemukan tidak rentan terhadap serangan ini.”
Cluster Service Fabric adalah kumpulan beberapa node yang terhubung ke jaringan (Windows Server atau Linux), yang masing-masing dirancang untuk mengelola dan menjalankan aplikasi yang terdiri dari layanan mikro atau container.
Kerentanan yang diidentifikasi oleh Unit 42 berada dalam komponen yang disebut Diagnostics Collection Agent (DCA) yang bertanggung jawab untuk mengumpulkan informasi diagnostik dan terkait dengan apa yang disebut “ras symlink”.
Dalam skenario hipotetis, penyerang dengan akses ke beban kerja kemas yang dikompromikan dapat mengganti file yang dibaca oleh agen (“ProcessContainerLog.txt”) dengan tautan simbolik jahat yang kemudian dapat dimanfaatkan untuk menimpa file apa pun yang arbitrer mengingat DCA berjalan sebagai root pada simpul.
“Meskipun perilaku ini dapat diamati pada wadah Linux dan wadah Windows, itu hanya dapat dieksploitasi di wadah Linux karena dalam wadah Windows, aktor yang tidak memiliki hak tidak dapat membuat symlink di lingkungan itu,” kata peneliti Unit 42 Aviv Sasson.
Eksekusi kode selanjutnya dicapai dengan memanfaatkan kelemahan untuk menimpa file “/etc/environment” di host, diikuti dengan mengeksploitasi pekerjaan cron per jam internal yang berjalan sebagai root untuk mengimpor variabel lingkungan berbahaya dan memuat objek bersama yang jahat di komputer. wadah yang dikompromikan yang memberi penyerang shell terbalik dalam konteks root.
“Untuk mendapatkan eksekusi kode, kami menggunakan teknik yang disebut pembajakan tautan dinamis. Kami menyalahgunakan variabel lingkungan LD_PRELOAD,” jelas Sasson. “Selama inisialisasi proses baru, linker memuat objek bersama yang ditunjuk oleh variabel ini, dan dengan itu, kami menyuntikkan objek bersama ke tugas cron istimewa pada node.
Meskipun tidak ada bukti bahwa kerentanan telah dieksploitasi dalam serangan dunia nyata hingga saat ini, penting bagi organisasi untuk segera mengambil tindakan untuk menentukan apakah lingkungan mereka rentan dan menerapkan patch.