A Orca Security critica a lentidão da Microsoft em corrigir a vulnerabilidade do SynLapse, que só foi fechada após 100 dias. Mais isolamento e proteção para melhor segurança na nuvem são recomendados.
Embora SynLapse (CVE-2022-29972) seja uma vulnerabilidade crítica, a Microsoft levou mais de 100 dias para concluir as etapas necessárias para resolver a vulnerabilidade.
100 dias de vulnerabilidade aberta
Depois que a Microsoft foi informada sobre a vulnerabilidade do SynLapse em 4 de janeiro e após vários acompanhamentos, o primeiro patch foi fornecido apenas em março, que a Orca Security conseguiu contornar. A Microsoft finalmente corrigiu a vulnerabilidade original em 10 de abril, mas a Orca Security acredita que o problema subjacente da segregação de inquilinos no nível da infraestrutura foi explorado por muito tempo.
SynLapse - Detalhes técnicos da vulnerabilidade crítica no Azure Synapse
Um vetor de ataque agora está finalmente fechado, recomenda-se endurecimento adicional. O último blog da Orca Security descreve os detalhes técnicos do SynLapse, como uma continuação do blog anterior. A Orca atrasou o lançamento até agora para dar aos clientes do Synapse tempo para corrigir suas versões locais e reconsiderar o uso do Azure Synapse. O MSRC fez várias melhorias e continua a trabalhar para um isolamento abrangente do inquilino.
Tzah Pahima, pesquisador da Orca Security, é creditado por descobrir o SynLapse - uma vulnerabilidade crítica no Microsoft Azure Synapse Analytics que também afetou o Azure Data Factory. Isso permitiu que os invasores contornassem a separação de inquilinos enquanto ganhavam a capacidade de:
- Obtenha credenciais para outras contas de clientes do Azure Synapse.
- Controle sobre seus espaços de trabalho do Azure Synapse.
- Execute o código em máquinas de clientes de destino dentro do serviço Azure Synapse Analytics.
- Divulgação de credenciais do cliente para fontes de dados fora do Azure.
Um invasor que sabe apenas o nome de um espaço de trabalho do Azure Synapse poderia, como mostra este vídeo, espionar as credenciais de uma vítima inseridas no Synapse da seguinte maneira.
O que é o Azure Synapse Analytics?
O Azure Synapse Analytics importa e processa dados de muitas fontes de dados de clientes (por exemplo, CosmosDB, Azure Data Lake e fontes externas como Amazon S3).
Cada instância do Synapse é chamada de espaço de trabalho. Para importar e processar dados de uma fonte de dados externa, um cliente insere credenciais e dados relevantes e, em seguida, conecta-se a essa fonte por meio de um tempo de execução de integração — uma máquina que se conecta a várias fontes de dados diferentes.
Os runtimes de integração podem ser auto-hospedados (no local) ou hospedados na nuvem do Azure (por meio do runtime de integração do Azure Data Factory). Os IRs do Azure hospedados na nuvem também podem ser configurados com uma rede virtual gerenciada (VNet) para usar pontos de extremidade privados para conexões externas, que podem fornecer camadas adicionais de isolamento.
Quão crítico foi o SynLapse?
O SynLapse permitia que os invasores acessassem os recursos do Synapse pertencentes a outros clientes por meio de um servidor interno da API do Azure que gerencia os tempos de execução da integração. Como a equipe do Orca sabia o nome de um espaço de trabalho, eles puderam realizar o seguinte:
- Obtenha autorização em outras contas de clientes enquanto atua como um espaço de trabalho Synapse. Dependendo da configuração, a equipe poderia ter acessado ainda mais recursos dentro de uma conta de cliente.
- Credenciais de leitura que os clientes armazenaram em seu espaço de trabalho Synapse.
- Comunicação com os runtimes de integração de outros clientes. A equipe da Orca conseguiu usar isso para executar o código remoto (RCE) nos tempos de execução de integração de qualquer cliente.
- Controle sobre o pool de lotes do Azure que gerencia todos os runtimes de integração compartilhados. Orca foi capaz de executar código em qualquer instância.
Mitigação futura
Após discussões com a Microsoft, a Orca Security agora acredita que o Azure Synapse Analytics é seguro e fornece isolamento de locatário adequado. Por causa disso, a Orca removeu os alertas Synapse da plataforma Orca Cloud Security. A Microsoft continua trabalhando em isolamento e proteção adicionais.
Mais em Orca.security
Sobre a Orca Security A Orca Security oferece segurança e conformidade prontas para uso para AWS, Azure e GCP, sem lacunas na cobertura, fadiga de alertas e custos operacionais de agentes ou sidecars. Simplifique as operações de segurança em nuvem com uma única plataforma CNAPP para carga de trabalho e proteção de dados, gerenciamento de postura de segurança em nuvem (CSPM), gerenciamento de vulnerabilidade e conformidade. A Orca Security prioriza os riscos com base na gravidade do problema de segurança, acessibilidade e impacto nos negócios.