CVE-2022-29972 est une vulnérabilité de sécurité dans les pipelines Azure Synapse et Azure Data Factory qui pourrait laisser les pirates exécuter des commandes à distance dans l'infrastructure d'exécution d'intégration (IR). Microsoft explique que l'IR est une infrastructure de calcul utilisée par les pipelines Azure Data Factory et Azure Synapse qui fournit des capacités d'intégration de données dans les environnements réseau.
CVE-2022-29972 en détail
La vulnérabilité elle-même a été surnommée SynLapse par les chercheurs d'Orca Security qui ont analysé la menace et émis un avertissement. L'équipe estime que la séparation des locataires dans le service Microsoft Azure Synapse est "insuffisamment robuste pour protéger les secrets contre les autres locataires". Basé sur la compréhension des chercheurs de l'architecture du service, et leurs contournements répétés de correctifs, ils pensent que l'architecture contient des faiblesses sous-jacentes qui devraient être traitées avec un mécanisme de séparation des locataires plus robuste, selon l'émission consultatif.
Apparemment, les pirates peuvent exploiter CVE-2022-29972 pour accéder aux espaces de travail Synapse d'autres clients et les contrôler. Cela pourrait alors provoquer des fuites de données sensibles, y compris les clés de service Azure, Jetons d'API, et mots de passe vers d'autres services.
Selon Avis de Microsoft, la faille a été découverte dans le connecteur de données ODBC tiers qui se connecte à Amazon Redshift, en IR dans Azure Synapse Pipelines et Azure Data Factory. Si un attaquant réussit à exploiter la faille, cela pourrait permettre à des attaquants malveillants exécutant des tâches dans un pipeline Synapse d'exécuter des commandes à distance.
"Jusqu'à ce qu'une meilleure solution soit mise en œuvre, nous conseillons à tous les clients d'évaluer leur utilisation du service et de s'abstenir d'y stocker des données ou des clés sensibles," a déclaré la sécurité d'Orca. Cependant, Microsoft a déclaré que les clients qui utilisent le cloud Azure ou hébergent leur propre site avec les mises à jour automatiques activées n'ont pas besoin de prendre d'autres mesures d'atténuation..
Les clients IR auto-hébergés pour lesquels la mise à jour automatique n'est pas activée doivent déjà avoir été informés de la protection de leurs produits via Azure Service Health Alerts (ID: MLC3-LD0). Microsoft leur conseille de mettre à jour leurs IR auto-hébergés vers la dernière version (5.17.8154.2) qui peut être téléchargé à partir du centre de téléchargement de Microsoft.