A Microsoft corrigiu uma falha crítica na plataforma de hospedagem de aplicativos Service Fabric (SF) que permitiria que os agentes de ameaças escalassem privilégios para root e sequestrassem clusters do Azure Linux.
O Service Fabric é uma plataforma para aplicativos essenciais aos negócios que hospeda mais de 1 milhão de aplicativos, de acordo com dados da Microsoft. Ele também capacita muitos produtos da Microsoft, incluindo, entre outros, Banco de Dados SQL do Azure, Azure Cosmos DB, Microsoft Intune, Hubs de Eventos do Azure, Hub IoT do Azure, Dynamics 365, Skype for Business, Cortana, Microsoft Power BI e vários serviços principais do Azure.
A falha crítica de segurança
A falha de segurança do SF é rastreada como CVE-2022-30137 e foi apelidada de FabricScape pelos pesquisadores da Unidade 42 da Palo Alto Networks, que a descobriram e a relataram à Microsoft em 30 de janeiro.
A vulnerabilidade ocorre devido a uma gravação arbitrária condicionada por corrida no componente do Service Fabric do Agente de Coleta de Dados (DCA) que permite que invasores substituam arquivos no sistema de arquivos do nó por conteúdo mal-intencionado criando links simbólicos para obter execução de código.
Detalhes adicionais sobre como o CVE-2022-30137 pode ser explorado para executar código e assumir clusters SF Linux estão disponíveis no relatório da Unidade 42. “A Microsoft recomenda que os clientes continuem a revisar todas as cargas de trabalho em contêineres (Linux e Windows) que têm acesso permitido a seus clusters de host”, aconselhou a Microsoft.
“Por padrão, um cluster SF é um ambiente de locatário único e, portanto, não há isolamento entre aplicativos. É possível criar isolamento e orientações adicionais sobre hospedagem de código não confiável podem ser encontradas na página de práticas recomendadas de segurança do Azure Service Fabric.”
Demora na correção da falha que permitia o sequestro de clusters do Azure Linux
A Microsoft corrigiu o problema com o lançamento da atualização cumulativa do Microsoft Azure Service Fabric 9.0 Linux em 14 de junho, de acordo com o relatório da Unidade 42. No entanto, a Microsoft diz que a correção foi disponibilizada em 26 de maio.
Correções para essa falha foram enviadas para clusters Linux atualizados automaticamente a partir de 14 de junho, após a publicação do comunicado de segurança detalhando o bug. Os clientes que habilitaram atualizações automáticas em seus clusters Linux não precisam realizar mais nenhuma ação. No entanto, aqueles que executam o Azure Service Fabric sem atualizações automáticas são aconselhados a atualizar seus clusters Linux para a versão mais recente do Service Fabric o mais rápido possível.
A Microsoft diz que os clientes que não habilitaram as atualizações automáticas foram notificados sobre esse problema por meio de notificações do portal enviadas por meio do Azure Service Health.