资安业者Mandiant揭露Azure Kubernetes Services有漏洞，并命名为WireServing，影响在网络组态使用「Azure CNI」、网络政策采用「Azure」配置的Kubernetes（K8s）集群，攻击者若在这类集群正在运作的节点运行命令，就有机会下载集群节点的组态配置，从而取得TLS引导凭证（Token），并运行TLS引导攻击（TLS Bootstrap Attack），进一步读取集群里所有的机敏数据。微软接获研究人员的通报，已从问题根源进行处置。

而对于这项漏洞带来的影响，攻击者一旦得到能够存取的Azure Kubernetes服务集群权限，就有机会借此进行权限提升，并存取集群服务使用的帐密数据。攻击者不仅能取得敏感数据，还有可能造成数据外泄、财务损失、受害组织的信誉受损等影响。

研究人员揭露的漏洞利用攻击手法，是利用Azure并未记载于文档的内部组件WireServer，虽然微软在WALinuxAgent的说明文档提及这项组件，但仅指出用途是处理Linux虚拟机与Azure Fabric的交互。

他们对这项组件发出请求，取得用来保护组态的密钥wireserver.key，并通过另一项名为HostGAPlugin的组件取得JSON文件，并以该密钥解开特定的脚本，从而取得一系列的机敏数据，其中包含环境变量，有了这些数据，攻击者就能进行权限提升。

这些环境变量可让攻击者取得节点的通用TLS密钥及凭证、K8s的CA凭证，以及TLS引导凭证。研究人员指出，虽然这种管道取得的帐号在AKS仅具备最小的K8s权限，但这种帐号能列出集群里的所有节点。

另一方面，上述提及的TLS引导凭证不仅能用于TLS引导攻击，还能得到工作酬载使用的机密存取权限。