Microsoft anunció el lanzamiento de diversas actualizaciones de seguridad para abordar una vulnerabilidad en las tuberías Azure Synapse y Azure Data Factory cuya explotación permitiría a los actores de amenazas ejecutar comandos remotos en Integration Runtime (IR). Estas implementaciones usan IR para la integración de datos en entornos de red, por lo que la explotación de las fallas podría resultar en escenarios problemáticos.
Identificada como CVE-2022-29972, la falla fue corregida a mediados de abril sin que se detectaran intentos de explotación exitosa. Tzah Pahima, investigador de Orca Security, mencionó que los atacantes podían explotar la falla para acceder y controlar los espacios de trabajo de Synapse de otros clientes, accediendo así a datos confidenciales como claves de servicio Azure, tokens API y contraseñas de otros servicios.
Por otra parte, Microsoft publicó una alerta señalando que la vulnerabilidad reside en el conector de datos ODBC de terceros para Amazon Redshift, además de existir en IR, Azure Synapse Pipelines y Azure Data Factory: “La vulnerabilidad podría haber permitido que un atacante realizara la ejecución de comandos remotos en la infraestructura IR sin limitarse a un solo inquilino”, agrega la compañía.
La explotación exitosa del conector ODBC habría permitido que los atacantes maliciosos ejecuten trabajos en una canalización de Synapse para la ejecución de comandos remotos. Una posterior etapa de ataque habría facilitado el robo de certificados de servicio de Azure Data Factory para la ejecución de comandos en Azure Data Factory Integration Runtimes de otro inquilino.
Orca Security considera que esta arquitectura contiene importantes debilidades que deben ser abordadas con un enfoque de separación de inquilinos más sólido.
Sobre la mitigación, Microsoft dice que los clientes que usan Azure Integration Runtime o que alojan su propio entorno local (Self-Hosted Integration Runtime) con actualizaciones automáticas activadas no requerirán más que recibir las actualizaciones para mitigar el riesgo de explotación.
Los clientes de IR con auto hospedaje que no tienen activada la actualización automática ya deberían haber recibido una notificación para proteger sus implementaciones a través de Azure Service Health Alerts. Microsoft también recomienda actualizar las implementaciones Integration Runtime autohospedadas a la última versión disponible (v5.17.8154.2).
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.