Orca Security, Microsoft'un yalnızca 100 gün sonra kapatılan SynLapse güvenlik açığını düzeltme konusundaki yavaş tepkisini eleştiriyor. Daha iyi bulut güvenliği için daha fazla izolasyon ve sağlamlaştırma önerilir.
SynLapse (CVE-2022-29972) Kritik bir güvenlik açığı olmasına rağmen, Microsoft'un bu güvenlik açığını gidermek için gerekli adımları tamamlaması 100 günden fazla sürdü.
100 gün açık zafiyet
Microsoft, 4 Ocak'ta SynLapse güvenlik açığı hakkında bilgilendirildikten ve birkaç takipten sonra, Orca Security'nin baypas edebildiği ilk yama yalnızca Mart ayında sağlandı. Microsoft nihayet 10 Nisan'da orijinal güvenlik açığını düzeltti, ancak Orca Security, altyapı düzeyinde kiracı ayrımının altında yatan sorunun çok uzun süredir istismar edildiğine inanıyor.
SynLapse - Azure Synapse'deki kritik güvenlik açığının teknik ayrıntıları
Bir saldırı vektörü artık nihayet kapatılmıştır, ek güçlendirme önerilir. Orca Security'nin en son blog'u, önceki blog'un devamı niteliğindeki SynLapse'in teknik ayrıntılarını açıklıyor. Orca, Synapse müşterilerine şirket içi sürümlerine yama uygulama ve Azure Synapse kullanımlarını yeniden gözden geçirme zamanı vermek için sürümü şimdiye kadar erteledi. MSRC çeşitli iyileştirmeler yaptı ve kapsamlı kiracı izolasyonu için çalışmaya devam ediyor.
Orca Security'de araştırmacı olan Tzah Pahima, Microsoft Azure Synapse Analytics'te Azure Data Factory'yi de etkileyen kritik bir güvenlik açığı olan SynLapse'i keşfetmesiyle tanınır. Saldırganların, aşağıdakileri yapma becerisi kazanırken kiracı ayrımını atlamasına izin verdi:
- Diğer Azure Synapse müşteri hesapları için kimlik bilgileri edinin.
- Azure Synapse çalışma alanları üzerinde denetim.
- Azure Synapse Analytics hizmeti içindeki hedeflenen müşteri makinelerinde kod çalıştırın.
- Müşteri kimlik bilgilerinin Azure dışındaki veri kaynaklarına açıklanması.
Yalnızca Azure Synapse çalışma alanının adını bilen bir saldırgan bu videoda gösterildiği gibi, bir kurbanın Synapse'e girilen kimlik bilgilerini aşağıdaki şekilde gözetleyebilir.
Azure Synapse Analytics nedir?
Azure Synapse Analytics, birçok müşteri veri kaynağından (ör. CosmosDB, Azure Data Lake ve Amazon S3 gibi harici kaynaklar) verileri içeri aktarır ve işler.
Her Synapse örneğine çalışma alanı denir. Bir dış veri kaynağından verileri içe aktarmak ve işlemek için bir müşteri, kimlik bilgilerini ve ilgili verileri girer ve ardından, birçok farklı veri kaynağına bağlanan bir makine olan bir entegrasyon çalışma zamanı aracılığıyla bu kaynağa bağlanır.
Entegrasyon çalışma zamanları, şirket içinde (şirket içinde) veya Azure bulutunda (Azure Data Factory tümleştirme çalışma zamanı aracılığıyla) barındırılabilir. Bulutta barındırılan Azure IR'ler, ek yalıtım katmanları sağlayabilen dış bağlantılar için özel uç noktaları kullanmak üzere Yönetilen Sanal Ağ (VNet) ile de yapılandırılabilir.
SynLapse ne kadar kritikti?
SynLapse, saldırganların entegrasyon çalışma zamanlarını yöneten dahili bir Azure API sunucusu aracılığıyla diğer müşterilerin sahip olduğu Synapse kaynaklarına erişmesine izin verdi. Orca ekibi bir çalışma alanının adını bildiği için aşağıdakileri gerçekleştirebildi:
- Synapse çalışma alanı olarak hareket ederken diğer müşteri hesapları içinde yetki alın. Yapılandırmaya bağlı olarak ekip, bir müşteri hesabında daha da fazla kaynağa erişebilirdi.
- Müşterilerin Synapse çalışma alanlarında depoladıkları kimlik bilgilerinin okunması.
- Diğer müşterilerin entegrasyon çalışma zamanlarıyla iletişim. Orca ekibi, herhangi bir müşterinin entegrasyon çalışma zamanlarında uzaktan kod (RCE) çalıştırmak için bunu kullanabildi.
- Tüm paylaşılan tümleştirme çalışma zamanlarını yöneten Azure toplu iş havuzu üzerinde denetim. Orca herhangi bir örnekte kod çalıştırabiliyordu.
Gelecekteki hafifletme
Microsoft ile yapılan görüşmelerin ardından Orca Security, Azure Synapse Analytics'in güvenli olduğuna ve yeterli kiracı yalıtımı sağladığına inanıyor. Bu nedenle Orca, Synapse uyarılarını Orca Cloud Security platformundan kaldırmıştır. Microsoft, ek yalıtım ve sağlamlaştırma üzerinde çalışmaya devam ediyor.
Orca.security'de daha fazlası
Orca Güvenlik Hakkında Orca Security, AWS, Azure ve GCP için kapsam boşlukları, uyarı yorgunluğu ve aracıların veya sepetlerin operasyonel maliyetleri olmadan kullanıma hazır güvenlik ve uyumluluk sunar. İş yükü ve veri koruması, bulut güvenlik duruşu yönetimi (CSPM), güvenlik açığı yönetimi ve uyumluluk için tek bir CNAPP platformuyla bulut güvenlik operasyonlarını basitleştirin. Orca Security, güvenlik sorununun ciddiyetine, erişilebilirliğine ve iş etkisine göre riskleri önceliklendirir.