Cloud computing : Microsoft corrige une faille sur Azure
Microsoft vient de révéler avoir corrigé un bug dans son service Azure Container Instances (ACI) qui aurait pu permettre à un utilisateur d’accéder aux informations d’autres clients dans l’ACI. Pour rappel, ACI permet aux clients d’exécuter des applications dans des conteneurs sur Azure en utilisant des machines virtuelles gérées par Microsoft plutôt que de gérer les leurs. Or, des chercheurs de Palo Alto Networks ont signalé le bug de sécurité à Microsoft, qui a récemment corrigé le problème.
La direction du géant américain déclaré dans un billet de blog que rien n’indiquait que des informations sur les clients avaient été consultées en raison de la vulnérabilité – que ce soit dans le cluster utilisé par les chercheurs ou dans d’autres clusters. “Microsoft a récemment atténué une vulnérabilité signalée par un chercheur en sécurité dans le service Azure Container Instances (ACI) qui pourrait potentiellement permettre à un utilisateur d’accéder aux informations d’autres clients dans le service ACI. Notre enquête n’a révélé aucun accès non autorisé aux données des clients”, a-t-il déclaré.
Néanmoins, l’état-major de Microsoft recommande aux clients qui ont reçu une notification de sa part via le portail Azure de révoquer toutes les informations d’identification privilégiées qui ont été déployées sur la plate-forme avant le 31 août 2021.
Des applications conteneurisées moins protégées ?
Ariel Zelivansky, chercheur chez Palo Alto, a raconté à Reuters que son équipe avait utilisé une vulnérabilité connue pour échapper au système de conteneurs d’Azure. Comme elle n’était pas encore corrigée dans Azure, cela leur a permis de prendre le contrôle total d’un cluster. Palo Alto a signalé l’évasion des conteneurs à Microsoft en juillet.
Même sans vulnérabilités, les applications conteneurisées, qui sont souvent hébergées sur une infrastructure en Cloud, peuvent être difficiles à protéger des attaquants. La NSA et le CISA ont récemment publié des conseils pour que les organisations renforcent les applications conteneurisées, car leur infrastructure sous-jacente peut être incroyablement complexe. Microsoft a noté que, entre autres choses, les administrateurs devraient révoquer régulièrement les informations d’identification privilégiées.
Il y a deux semaines, Microsoft a divulgué une autre vulnérabilité concernant Azure, qui affecte les clients utilisant des bases de données NoSQL sur Azure, qui fournit le service géré Cosmos DB NoSQL DB. Une faille critique, baptisée ChaosDB, permettait à un attaquant de lire, modifier ou supprimer des bases de données.
Source : ZDNet.com
