MicrosoftAzureサービスファブリックの新しい「FabricScape」バグがLinuxワークロードに影響を与える from thehackernews.com

この欠陥は、悪用されて昇格されたアクセス許可を取得し、クラスター内のすべてのノードの制御を奪う可能性があります。
この脆弱性により、侵害されたコンテナにアクセスできる悪意のある攻撃者が特権を昇格させ、リソースのホストSFノードとクラスタ全体を制御できるようになるとMicrosoftは調整された開示プロセスの一環として述べています。
Service Fabricクラスターは、ネットワークに接続された複数のノード（Windows ServerまたはLinux）のセットであり、各ノードは、マイクロサービスまたはコンテナーで構成されるアプリケーションを管理および実行するように設計されています。
この動作はLinuxコンテナとWindowsコンテナの両方で観察できますが、Windowsコンテナでは特権のないアクターがその環境でシンボリックリンクを作成できないため、Linuxコンテナでのみ悪用可能であるとUnit42の研究者AvivSassonは述べています。
その後、この欠陥を利用してホスト上の/ etc / environmentファイルをオーバーライドし、rootとして実行される1時間ごとの内部cronジョブを悪用して悪意のある環境変数をインポートし、侵害されたコンテナに不正な共有オブジェクトをロードすることで、コードの実行が実現されます。
マイクロソフトはまた、サービスを使用している組織に対して、Linux環境とWindows環境の両方でコンテナー化されたワークロードを確認し、信頼できないアプリケーションのホスティングを検討する際に分離モードを作成し、ServiceFabricランタイムへのアクセスを削除するための追加の対策を講じるよう求めています。