微软云服务爆出 FabricScape 容器逃逸漏洞，攻击者可接管 Linux 集群

作者 | Tina

微软在 Service Fabric (SF) 应用程序托管平台爆出了一个名为 FabricScape 的容器逃逸漏洞，攻击者可利用此漏洞将权限提升到 root，夺取主机节点的控制权，并危及整个 SF Linux 集群。

微软花了近 5 个月时间修复漏洞，目前已将修复程序推送至自动更新通道，未开启该平台自动更新功能的用户需尽快更新。

根据微软的数据，Service Fabric 是一套关键业务应用程序托管平台，目前托管的应用总数已超百万。它还支持许多微软产品，包括但不限于 Azure SQL 数据库、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business、Cortana、Microsoft Power BI 和多个核心 Azure 服务。

这个漏洞编号为 CVE-2022-30137，由 Palo Alto Networks 于今年 1 月 30 日报告给微软。

该漏洞之所以出现，是因为 Fabric 的数据收集代理（DCA）服务组件（以 root 权限运行）包含竞争条件下的随意写入机制，导致恶意黑客可通过创建符号链接的方式，利用恶意内容覆盖节点文件系统中的文件，获取代码执行权限。

微软建议客户持续审查一切有权访问其主机集群的容器化工作负载（包括 Linux 与 Windows）。

微软表示，“默认情况下，SF 集群是单租户环境，因此应用程序之间没有隔离。但你可以在其中创建隔离，关于如何托管不受信代码的更多指南，请参阅 Azure Service Fabric 安全最佳实践 页面。”

更多信息可参阅：

https://unit42.paloaltonetworks.com/fabricscape-cve-2022-30137/

今日好文推荐

迁移进行时，告别 GitHub 的时候到了？

腾讯安全回应数据产品线裁撤；马斯克称终止收购推特；拼多多“砍一刀”涉嫌欺诈案一审宣判 ｜Q 资讯

GitLab 技术选型为何如此不同：坚持用过气 Web 框架十多年、坚决不用微服务

首个冲刺科创板的国产数据库：78 岁老教授打磨四十年，每一行代码都自主可控

 活动推荐

InfoQ 写作社区签约作者第三季活动已经启动，百万流量扶持和各种签约福利等你解锁！扫码立刻报名！

点个在看少个 bug 👇