CVE-2022-29972 er en sikkerhedssårbarhed i Azure Synapse og Azure Data Factory-pipelines, der kan lade trusselsaktører udføre fjernkommandoer i Integration Runtime Infrastructure (IR). Microsoft forklarer, at IR er en computerinfrastruktur, der bruges af Azure Data Factory og Azure Synapse pipelines, og som giver dataintegrationsfunktioner på tværs af netværksmiljøer.
CVE-2022-29972 i detaljer
Selve sårbarheden er blevet døbt SynLapse af Orca Security-forskere, som analyserede truslen og udsendte en advarsel. Teamet mener, at lejeradskillelsen i Microsoft Azure Synapse-tjenesten er "utilstrækkelig robust til at beskytte hemmeligheder mod andre lejere." Ud fra forskernes forståelse af tjenestens arkitektur, og deres gentagne omgåelser af rettelser, de mener, at arkitekturen indeholder underliggende svagheder, som bør løses med en mere robust lejeradskillelsesmekanisme, ifølge det udstedte rådgivende.
Tilsyneladende, trusselsaktører kan udnytte CVE-2022-29972 til at få adgang til og kontrollere andre kunders Synapse-arbejdsområder. Dette kan så forårsage lækage af følsomme data, inklusive Azure-servicenøgler, API-tokens, og adgangskoder til andre tjenester.
Ifølge Microsofts rådgivning, fejlen blev opdaget i tredjeparts ODBC-datastik, der forbinder til Amazon Redshift, i IR i Azure Synapse Pipelines og Azure Data Factory. Hvis en angriber med succes udnytter fejlen, det kunne tillade ondsindede angribere, der kører job i en Synapse-pipeline, til at udføre fjernkommandoer.
”Indtil en bedre løsning er implementeret, vi råder alle kunder til at vurdere deres brug af tjenesten og undlade at gemme følsomme data eller nøgler i den," sagde spækhuggerens sikkerhed. Men, Microsoft sagde, at kunder, der bruger Azure-skyen eller hoster deres egen lokale med automatiske opdateringer aktiveret, ikke behøver at tage andre afhjælpningstrin.
Self-host IR-kunder, som ikke har den automatiske opdatering slået til, skulle allerede have fået besked om at beskytte deres produkter via Azure Service Health Alerts (ID: MLC3-LD0). Microsoft råder dem til at opdatere deres selv-hostede IR'er til den nyeste version (5.17.8154.2) som kan downloades fra Microsofts Download Center.