微软发布FabricScape漏洞的修补程序

关键要点

• 微软为FabricScape漏洞（CVE-2022-30137）发布了安全补丁，该漏洞允许Linux容器提升权限，获得节点的根权限，以便在集群中进行攻击。
• Palo Alto的Unit 42与微软合作数月，确保漏洞被及时修补。
• 此漏洞的严重性影响Microsoft Service Fabric，广泛用于Azure，承载超过100万个应用程序。
• 建议使用Azure Service Fabric的客户及时升级其Linux集群。

研究人员在周二报告称，微软已针对FabricScape [(CVE-2022-30137)](https://cve.mitre.org/cgi- bin/cvename.cgi?name=CVE-2022-30137) 漏洞发布了修补程序。该漏洞允许 容器提升权限，获得节点的根权限，从而可以对集群中的所有节点进行攻击。

在一篇中，Palo Alto的Unit42表示，他们在此问题上与微软密切合作了数月，微软于6月14日早些时候发布了。研究人员称，微软已在Linux集群中减轻了该问题的影响，并更新了 基于Microsoft Service Fabric的内部产品和服务的生产环境。

研究人员指出，该漏洞在微软ServiceFabric中的“重要严重性”，该服务通常与 一起使用，每天承载超过100万个应用程序，处理数百万个计算核心。它支持许多Azure服务，包括AzureService Fabric、Azure SQL Database和Azure CosmosDB，以及Cortana和Microsoft PowerBI等工具。

Unit 42建议尚未启用自动更新的Azure Service Fabric客户，及时将其Linux集群升级到最新的ServiceFabric版本。对于已启用自动更新的Linux集群，客户不需要进一步采取任何措施。

Viakoo的首席执行官Bud Broomhead表示，针对使用Microsoft ServiceFabric的云应用程序，威胁行为者再次发现了机会，这一切都与部分系统运营者未能及时应用安全更新和补丁有关。Broomhead指出，与针对开源软件组件或物联网设备的漏洞类似，黑客在补丁未能自动更新时往往能够成功进行攻击。

“虽然组织可能有合理的理由不自动实施安全修复，但如微软所建议的，这些组织必须准备快速、手动地对待此类高严重性威胁。”Broomhead表示。“如果没有足够的人力或准备来处理这项任务，将使应用程序所有者处于可能损害其声誉，甚至使其网络保险无效的境地，因为未能妥善维护安全。”

Synopsys Software Integrity Group的高级安全策略师JonathanKnudsen表示，此CVE的公开应提醒安全专业人员两个重要的软件安全原则。

首先，不要信任默认设置。Knudsen表示，人们常常假设软件安全问题已由上游提供商解决。在这种情况下，Knudsen指出，默认情况下为每个容器授予运行时权限的选择，如果用户采用经过深思熟虑且知情的安全决策，可能会选择不同的做法。

其次，所有软件都有缺陷。即使是像云服务这样的软件基础设施也可能存在漏洞。组织需要意识到其整个软件供应链，以便能够冷静、高效、快速地应对这些漏洞。

“软件的开发、部署和维护需要对漫长且复杂的供应链进行细致管理。”Knudsen说道。“采取一种全面的软件安全方法是以有效利用可用资源来降低风险的最佳方式。”