快速修复中发现的关键安全问题
旨在保护容器的Amazon Web服务(AWS)容器免受危险log4shell错误具有beplay体育能用吗关键漏洞的补丁程序,可以使恶意容器能够损害基础主机。
由于log4shell的严重性,AWS发布了“热点”服务,该服务在服务器和点上运行,并随时修复未捕获的Java应用程序和容器。
热贴剂适用于独立服务器,Kubernetes簇和弹性容器服务(ECS)簇。除AWS外,这些补丁也可以安装在其他云环境或独立服务器中。
逃脱容器
Palo Alto Networks单元42的研究人员发现了漏洞可以利用它接管服务器或运行补丁程序的群集。
根据他们的发现,集群中的每个容器都可以利用容器逃脱和特权升级的漏洞。除了容器之外,无特权的流程还可以利用补丁程序来升级特权并获得根代码执行。
帕洛阿尔托网络(Palo Alto Networks)的首席安全研究人员尤瓦尔·阿夫拉哈米(Yuval Avrahami)对《每日swig》说:“我们对它如何修补容器感到好奇,因此我们发现该工具如何修补容器后不久就发现了这种漏洞。”beplay2018官网
“我们很快向AWS安全团队报告了问题,并在AWS工程团队开发补丁时与他们紧密合作。”
阅读更多最新的安全漏洞新闻
热补丁在容器中搜索“ Java”二进制文件,并使用其自己的服务器级特权来调用它们,而无需容器。这意味着该过程在没有通常应用于容器过程的限制的情况下运行。
恶意容器可以包括一个Java二进制文件,以欺骗补丁,以提高特权,逃脱容器并接管基础主机。
研究人员发布了概念验证,该证明利用了逃避容器限制的漏洞,在基础主机上获得根代码执行,并将反向外壳发送到攻击者控制的服务器。
可能的后果
Avrahami说,他担心两种主要攻击情况。首先,如果通过某种类型的网络攻击妥协了一个公开裸露的容器,则威胁者可以利用接管基础主机,所有相邻容器以及可能的托管Kubernetes群集的漏洞。
Avrahami说:“不幸的是,一个集装箱逃生足以接管整个Kubernetes群集并不少见。”
“脆弱性大大增加了从单个折衷的容器到数十个甚至数百个容器的横向运动的机会。”
阅读更多VMware Horizon受到攻击,因为中国的勒索软件组针对Log4J漏洞
第二种可能的威胁是攻击者渗透到容器图像注册表中以进行供应链攻击。
Avrahami说:“攻击者将漏洞投入到容器图像中,从而促进任何运行图像并安装热贴的环境的妥协。”
AWS修复了热补丁并发布了新版本。
Avrahami说:“运行集装箱环境的组织需要尽快采取行动,以确认是否正在使用此工具并在其上快速修补。”
容器安全的挑战
热补丁是临时解决方案,将其作为短期修复,直到安装永久beplay维护得多久补丁为止。
鉴于围绕Log4Shell的紧迫性,许多用户可能已经大规模安装了热补丁,使容器环境处于危险之中,Avrahami警告。即使在修补了Java应用程序之后,他们也可能会保持热贴的运行,以增加安全性。
Avrahami说:“隔离容器很困难,在开发与容器相互作用的解决方案时,总是会有风险。”beplay维护得多久
“这也强烈提醒人们,云安全需要多层保护,并且组织应在越来越多地将工作量转移到云中时进行深度投资。”
