Podatność umożliwia zdalne wykonanie kodu (RCE) w komponencie Confidential Containers usługi Microsoft Azure Kubernetes Service (AKS). Ze względu na krytyczny poziom CVSS 9.0 i sieciowy wektor ataku bez wymagania uwierzytelnienia, stanowi poważne zagrożenie dla środowisk kontenerowych w chmurze Azure.
▸ Pokaż oryginał (EN)
Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability
Podatność dotyczy komponentu Confidential Containers w Azure Kubernetes Service i pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu poprzez sieć (AV:N). Atak wymaga wysokiej złożoności (AC:H), jednak nie wymaga żadnych uprawnień ani interakcji użytkownika. Udany exploit prowadzi do naruszenia bezpieczeństwa poza granicami kontenera (scope changed — S:C), co wskazuje na możliwość ucieczki z izolowanego środowiska kontenerowego.
Atakujący może zdalnie wykonać dowolny kod w kontekście Confidential Containers, potencjalnie przejmując kontrolę nad izolowanym środowiskiem i uzyskując dostęp do poufnych danych, a także wpływając na integralność i dostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja opisana w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21376. Zaleca się monitorowanie środowisk AKS z włączoną funkcją Confidential Containers oraz ograniczenie ekspozycji sieciowej klastrów.
Microsoft Azure Kubernetes Service — komponent Confidential Containers; szczegółowe wersje wskazane w referencjach producenta (MSRC).
Data publikacji: 2024-02-13 (Patch Tuesday, luty 2024). Wektor CVSS wskazuje na scope change (S:C), co sugeruje możliwość container escape — wydostania się poza granice izolowanego kontenera.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Kubernetes Service
APPMicrosoftwszystkie wersje
Powiązane podatności
Nieprawidłowa autoryzacja w Microsoft Azure Kubernetes Service — eskalacja uprawnień
Privilege escalation w Azure Kubernetes Service Confidential Containers
Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability
Azure Virtual Machine Information Disclosure Vulnerability
Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability