Prisma Cloud Compute : App-embedded Defender n'autorise pas certaines actions privilégiées dans AWS Fargate
2736
Created On 09/10/24 19:14 PM - Last Modified 02/19/25 17:57 PM
Symptom
Un message « opération non autorisée » s'affiche lorsqu'un utilisateur tente d'exécuter des actions privilégiées telles que la modification de l'UID ou l'exécution de chown dans fargate lorsque des défenseurs intégrés à l'application sont déployés.
Environment
Prisma Cloud Compute Edition v33 et versions antérieures
Prisma Cloud Enterprise Edition v33 et versions antérieures
Défenseurs intégrés aux applications sur AWS Fargate
Cause
1. Les défenseurs appliquent une fonctionnalité dans Fargate où un processus ne peut exécuter qu'un ensemble prédéfini d'appels système, bloquant ceux qui ne sont pas autorisés ou risqués. Cela minimise la surface d'attaque et aide à se protéger contre les menaces ou les exploits potentiels.
2. De plus, « no_new_privs » est utilisé afin d'empêcher tout processus d'élever ses autorisations pour éviter de contourner nos mécanismes de sécurité.
3. Pour des appels système spécifiques, Defender implémente des fonctionnalités permettant de surveiller de manière sélective certains appels et d'appliquer nos politiques d'exécution.
Fargate bloque intentionnellement l'exécution de plusieurs processus privilégiés. Ce comportement est attendu afin de respecter nos contraintes de sécurité.
Resolution
La question de savoir si ce comportement peut être modifié est actuellement en cours d'analyse via une requête de fonctionnalité .