برطرف کردن آسیب‌پذیری RCE که روی Azure Synapse و Data Factory تأثیر می‌گذارد به نام SynLapse توسط مایکروسافت

مایکروسافت روز دوشنبه ۹ می ۲۰۲۲ فاش کرد که یک نقص امنیتی به نام SynLapse را که بر Azure Synapse و Azure Data Factory تأثیر می‌گذارد را برطرف کرده است که اگر با موفقیت مورد بهره‌برداری قرار گیرد، می‌تواند منجر به اجرای کد از راه دور شود.

این آسیب‌پذیری که به‌عنوان CVE-2022-29972 ردیابی می‌شود[۱]، توسط محققان Orca Security که این نقص را در ژانویه ۲۰۲۲ به مایکروسافت گزارش کردند، «SynLapse» نام‌گذاری شده است[۲].

این شرکت دراین‌باره گفت[۳]: «این آسیب‌پذیری مخصوص درایور شخص ثالث Open Database Connectivity (ODBC) بود[۴] که برای اتصال به Amazon Redshift در خطوط لوله Azure Synapse و Azure Data Factory Integration Runtime (IR) استفاده می‌شد[۵] و روی Azure Synapse تأثیری نداشت.»

این آسیب‌پذیری می‌توانست به مهاجم اجازه دهد تا اجرای فرمان از راه دور را در زیرساخت‌های IR انجام دهد، نه اینکه به یک tenant محدود شود.

به‌عبارت‌دیگر، یک عامل مخرب می‌تواند این باگ را به سلاح تبدیل کند تا گواهی سرویس Azure Data Factory را به دست آورد و به یکپارچگی Runtimes یک tenant دیگر دسترسی پیدا کند تا به اطلاعات حساس دسترسی پیدا کند و عملاً محافظت‌های جداسازی tenant را بشکند.

این غول فناوری که این نقص امنیتی را در ۱۵ آوریل ۲۰۲۲ برطرف کرد، گفت که هیچ مدرکی دال بر سوءاستفاده یا فعالیت مخرب مرتبط با این آسیب‌پذیری در سطح اینترنت پیدا نکرده است.

بااین‌حال، این شرکت تشخیص‌های Microsoft Defender برای Endpoint و Microsoft Defender Antivirus را به اشتراک گذاشته است تا از مشتریان در برابر بهره‌برداری احتمالی محافظت کند و افزود که در تلاش است با همکاری با فروشندگان درایور، امنیت کانکتورهای داده شخص ثالث را تقویت کند.

این یافته‌ها کمی بیش از دو ماه پس از رفع نقص «AutoWarp» که بر سرویس اتوماسیون Azure تأثیر گذاشته بود[۶]، که می‌توانست اجازه دسترسی غیرمجاز به سایر حساب‌های مشتریان Azure و در دست گرفتن کنترل را در اختیار بگیرد، به دست آمد.

ماه گذشته، مایکروسافت همچنین یک جفت مشکل تحت عنوان “ExtraReplica” را با پایگاه داده Azure برای سرور انعطاف‌پذیر PostgreSQL حل کرد[۷] که می‌توانست منجر به دسترسی غیرمجاز به پایگاه داده بین حساب‌ها در یک منطقه شود.

منابع

[۱] https://nvd.nist.gov/vuln/detail/CVE-2022-29972

[۲] https://orca.security/resources/blog/azure-synapse-analytics-security-advisory

[۳] https://msrc-blog.microsoft.com/2022/05/09/vulnerability-mitigated-in-the-third-party-data-connector-used-in-azure-synapse-pipelines-and-azure-data-factory-cve-2022-29972

[۴] https://en.wikipedia.org/wiki/Open_Database_Connectivity

[۵] https://docs.microsoft.com/en-us/azure/data-factory/concepts-integration-runtime

[۶] https://thehackernews.com/2022/03/microsoft-azure-autowarp-bug-could-have.html

[۷] https://apa.aut.ac.ir/?p=8971

[۸] https://thehackernews.com/2022/05/microsoft-mitigates-rce-vulnerability.html