CVE-2022-30137

Versões do Service Fabric anteriores à 9.0.1.0

Versões do Docker (versões afetadas não especificadas)

Foi identificada uma vulnerabilidade de elevação de privilégios em clusters do Service Fabric que executam contêineres do Docker. A exploração dessa vulnerabilidade requer que um invasor consiga executar código remotamente dentro de um contêiner. A vulnerabilidade está relacionada a um controle de acesso insuficiente e pode ser explorada para contornar restrições de segurança e elevar privilégios. De acordo com a Microsoft, o Service Fabric hospeda mais de 1 milhão de aplicativos diariamente e oferece suporte a muitos produtos do Azure. A vulnerabilidade, denominada FabricScape, está localizada no componente Diagnostics Collection Agent (DCA) e pode ser usada para obter controle sobre o nó SF e todo o cluster. O problema afeta tanto as plataformas Windows quanto Linux, mas só pode ser explorado no Linux.

Para versões do Service Fabric anteriores à 9.0.1.0, atualize para a versão mais recente, Service Fabric 9.0.1.0, para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao componente Diagnostics Collection Agent (DCA) até que um patch esteja disponível.

Evite usar contêineres com acesso em tempo de execução habilitado, pois isso pode aumentar o risco de exploração.