Microsoft dice que la acción es necesaria «por precaución» y no como respuesta a una amenaza específica. Se recomienda a los usuarios de Azure Container Instances que revoquen las credenciales privilegiadas tras el descubrimiento de un fallo.
El equipo de seguridad de Microsoft ha instado a los usuarios de Azure Container Instances (ACI) a revocar cualquier credencial privilegiada implementada en la plataforma antes del 31 de agosto.
El consejo llega cuando Palo Alto Networks descubre una vulnerabilidad, que desde entonces, ya se ha solucionado, dentro de ACI. Esta hacía posible que los piratas informáticos obtuvieran datos de los usuarios.
La vulnerabilidad ha sido apodada Azurescape, debido al método de escape que se descubrió en la plataforma de contenedor como servicio (CaaS) Azure de Microsoft. «Este tipo de adquisición de cuentas cruzadas representa un nuevo vector de ataque que los piratas informáticos pueden utilizar para apuntar a los servicios en la nube. Esperamos que se descubran más vulnerabilidades que permitan la toma de control entre cuentas». Esto lo dijo un portavoz de Palo Alto Networks.
Se recomienda a los usuarios de Azure Container Instances que revoquen las credenciales privilegiadas tras el descubrimiento de un fallo
Azurescape se descubrió por el investigador de la Unidad 42 Yuval Avrahami, quien lo informó a Microsoft. Finalmente, recibió «dos recompensas por errores» por una cantidad no revelada.
No se encontró evidencia que sugiera que la vulnerabilidad fue explotada, según el equipo del Centro de Respuesta de Seguridad de Microsoft.
«No hay indicios de que se haya accedido a datos de clientes debido a esta vulnerabilidad. Por precaución, se enviaron notificaciones a los clientes potencialmente afectados por las actividades del investigador. Se les advirtió de que revoquen cualquier credencial privilegiada que se haya implementado en la plataforma antes del 31 de agosto de 2021».
Sin embargo, la falta de evidencia no excluye las posibilidades de que ocurriera una violación de datos. Microsoft no confirmó si confiaba en que no se había accedido a ningún dato, según Reuters.
El gigante de Redmond les dijo a los clientes de ACI que si no se les había notificado, no se requería ninguna acción.
«Si no estás seguro de si tu suscripción u organización ha recibido una notificación, comunícate con el soporte de Azure. Si tienes alguna inquietud, rotar las credenciales privilegiadas es una buena práctica de seguridad periódica y sería una medida de precaución eficaz».
El aviso llega semanas después de que miles de sus clientes de Azure tuvieran comprometidas sus principales bases de datos. Los clientes afectados incluyeron algunas de las empresas más grandes del mundo, según el investigador de seguridad cibernética Wiz. Se denominó «la peor vulnerabilidad en la nube que puedas imaginar».
Desde entonces, Microsoft había solucionado la vulnerabilidad, y en ese momento dijo que no había evidencia de que la vulnerabilidad hubiera sido explotada. Según los informes, el gigante de Redmond había acordado pagar a los investigadores de seguridad unos 40.000 dólares por encontrar una vulnerabilidad e informarla.