AWS多个Log4Shell热补丁可导致容器逃逸和权限提升

admin
admin
admin
4236
文章
0
评论
2022年5月6日12:53:58 评论 0次
  • 拼多多砍价群
  • 微信扫一扫进群
  • weinxin
  • 各行各业微信群
  • 微信扫一扫进群
  • weinxin

随着Log4Shell为了帮助用户应对这个问题,漏洞威胁越来越严重,AWS为了监测漏洞,发布了三个热补丁解决方案Java应用程序和容器,并在操作中安装补丁。每个解决方案适用于独立服务器的不同环境Kubernetes集群、Elastic Container Service(ECS)集群和Fargate。热补丁是将修复程序注入有漏洞和正在运行的应用程序的过程,可以作为部署最新修复版本之前的短期解决方案。它们不是AWS可安装在任何云或本地环境中。

然而,Palo Alto Networks(派拓网络)威胁情报团队Unit 42研究人员发现这些补丁解决方案存在严重的安全问题,随后与AWS合作修复。为服务器或集群安装补丁服务后,环境中的每个容器都可以接管其底层主机。配备热补丁服务或热补丁Daemonset的主机上,现有容器也可以逃逸。例如,如果给一个Kubernetes如果集群中安装了热补丁,集群中的每个容器都可以逃跑,直到热补丁被禁止或升级到修复版本。除容器外,无权进程还可以使用补丁来增强特权,并获得根代码执行。

不管容器是否工作Java应用程序或其底层主机是否运行Bottlerocket(AWS构建了运行容器Linux发行版),容器可以逃脱。使用户命名空间或以非root还会影响用户身份操作的容器。Unit 42指定CVE-2021-3100、CVE-2021-3101、CVE-2022-0070和CVE-2022-0071跟踪这些漏洞。

恶意“java-欺骗热补丁的罪魁祸首

AWS热补丁解决方案将继续搜索Java在运行过程中Log4Shell安装补丁。无论是在容器内部还是外部,任何操作都被称为java二进制文件的过程被认为是热补丁的候选人。

修理容器内的Java在此过程中,热补丁解决方案将调用特定的容器二进制文件。例如,它们将操作容器的java二进制文件两次:一次检索Java另一个版本是注入热补丁。问题是他们调用了容器二进制文件,但没有正确地将其容器化,即没有限制适用于容器过程的新操作过程。

例如,通过nsenter命令在容器命名空间中调用java二进制文件(不包括用户命名空间)。但除此之外,它是由所有人组成的Linux通常不限制容器的隔离技术,如功能衍生seccomp和cgroups。它还作为用户运行,不受容器用户的影响。

因此,恶意容器可能包含一个名称java恶意二进制文件。该文件可以欺骗热补丁解决方案,并以更高的权限调用。然后,恶意java该过程可以滥用逃离容器的权限,并接管底层主机。目前,修复后的热补丁解决方案可以在容器二进制文件运行前容器化。

除了容器,热补丁服务也以类似的方式修复主机进程。没有权限的恶意进程可以通过创建并运行一个名为“java恶意二进制文件,欺骗热补丁服务,高权力执行。现在,修复后的热补丁服务产生了java二进制文件及修复后Java过程权限相同。

Log4Shell影响深远,不容小觑

鉴于Log4Shell漏洞的危害迫在眉睫。大多数用户已经大规模部署了热补丁,无意中将容器环境置于危险之中。Java安装了应用程序Log4Shell由于缺乏足够的移除动机,用户仍有可能继续运行热补丁进行深度防御。

容器通常被视为同一机器上运行的不同应用程序之间的安全边界。容器逃逸使攻击者能够将活动扩展到单个应用程序以外,并损坏相邻服务。Kubernetes以集群为例,单个容器逃逸有时足以接管整个集群。无论容器配置如何,都可以使用这些漏洞。因此,即使是高级隔离技术的环境(如用户命名空间或非用户命名空间)root用户操作容器)也会受到影响。除容器外,无权进程还可以利用这些漏洞来增强权限,并完全控制其底层服务器。

操作修复版,杜绝容器逃逸和权限提升

Unit 42建议任何安装这些热补丁的用户升级到修复版本。AWS为每个热补丁解决方案发布了一个修复方案。一旦主机运行修复版本,容器逃逸和权限提升就可以完全消除。

1. 在Kubernetes集群可以部署AWS提供的最新Daemonset安装修复后的热补丁版本——kubernetes-log4j-cve-2021-44228-node-agent Daemonset 1.1-16该版本安装了更新的程序包。值得注意的是,只删除热补丁Daemonset节点中的热补丁服务无法删除。

2. 在独立主机上运行 log4j-cve-2021-44228-hotpatch程序包1.1-16升级版本,绑定热补丁服务。

3. Hotdog用户需要升级到最新版本——Hotdog 1.02版。这是一个基于开放容器倡议(OCI)hook的Bottlerocket主机热补丁解决方案。

此外,如果确认环境已安装Log4Shell可通过操作补丁sudo touch /etc/log4j-cve-2021-44228-hotpatch.kill禁止主机上的热补丁服务。禁止使用Hotdog,可以运行apiclient set oci-hooks.log4j-hotpatch-enabled=false。

Prisma Cloud用户可以在漏洞选项卡下识别受影响的主机。该平台将检测热补丁程序包,并报警运行漏洞版本的虚拟机。如果您想搜索这些漏洞,可以使用相关的Amazon Linux Security Advisories(ALAS)ID:ALAS-2021-1554、ALAS-2021-1732、ALAS-2022-1580和ALAS-2022-1773。

AWS多个Log4Shell热补丁可导致容器逃逸和权限提升Prisma Cloud检测到漏洞log4j-cve-2021-44228-hotpatch版本并发出警报

派拓网络的Prisma Cloud、Cortex XDR下一代防火墙(NGFW)可检测到后续攻击行为,破坏命令,控制通信。

提高警惕,与容器安全交互

CVE-2021-3100、CVE-2021-3101、CVE-2022-0070和CVE-2022-0071增加了大量的容器逃逸漏洞。这些漏洞来自于独立工艺和操作容器之间的直接交互。在恶意容器的情况下,即使是像复制文件或生成新的容器过程这样简单的任务也可能会产生意想不到的后果。

如果用户围绕容器构建软件,则需要遵循容器过程或文件系统操作runc当成熟的容器运行时。虽然容器本身也有漏洞,但它们仍然是迄今为止经历过最多审查和最成熟的容器安全交互程序。

结语

随着Log4Shell漏洞的威胁日趋严峻,对用户而言最好的办法是尽快升级到修复后的热补丁版本。相比之下,多租户容器环境和运行不可信镜像的集群面临的风险更大。

如果用户正在安装针对Log4Shell补丁可以优先考虑这项任务。尽管目前的问题可能会对容器环境造成严重攻击,但它是历史上最具威胁性的漏洞之一,Log4Shell仍被频繁使用。

幸运的是,值得庆幸的是,AWS热补丁帮助社区阻止了无数的攻击。随着这些漏洞的修复,热补丁可以在保证容器环境安全的前提下处理Log4Shell漏洞。

AWS多个Log4Shell热补丁可导致容器逃逸和权限提升

华为Mate Xs 2(12GB/512GB/4G 新一代鹰翼折叠,SD Optics四网并发计算光学、高硅负极电池

[经销商] 京东商城

[产品售价] 12999(预售)

AWS多个Log4Shell热补丁可导致容器逃逸和权限提升

华为路由AX6

[经销商] 京东商城

[产品售价] 599(预售)

AWS多个Log4Shell热补丁可导致容器逃逸和权限提升

华为路由Q6网络版(1母 3子)

[经销商] 京东商城

[产品售价] 1699(预售)

匿名

发表评论

匿名网友 填写信息