安全廠商Orca與Tenable本周說明發生在Microsoft Azure一項服務的漏洞,並指微軟對漏洞的回應動作太慢及透明度不佳,讓用戶曝於風險。
Synapse Analytics是供機器學習、資料集結及其他高運算用量任務的平臺。它可從許多資料源如CosmosDB、Azure Data Lake及Amazon S3匯入資料。而為了從外部資料源匯入資料,用戶必須輸入憑證及相關資料,再經由整合runtime(integration runtime,IR)連到資源源。IR可以執行在用戶本地部署環境或Azure雲上,若是後者,用戶還可設定VNet(代管虛擬網路),以私密端點連到外部資源,這可提供租戶隔離之效。
研究人員發現介接IR的第三方ODBC(Open Database Connectivity)驅動程式的一項漏洞,影響Azure Synapse及Azure Data Factory。
該漏洞編號CVE-2022-29972,Orca研究人員稱之為SynLapse。攻擊者可藉此攻擊Azure Synapse租戶,以控制Azure Synapse的工作空間(workspace)、在Azure Synapse服務內的目標機器上執行程式碼、以及將客戶驗證憑證傳到外部目的地,及取得其他用戶帳號的驗證憑證(Azure keys、API token、密碼等)。
圖片來源/Orca
微軟已在5月的Patch Tuesday中修補這項漏洞,但是研究人員對微軟修補漏洞不確實及速度感到不滿。
Orca研究人員Tzah Pahima指出,他在今年1月4日通報微軟安全回應中心,並提供了他們取得的憑證和金鑰。之後微軟分別在3月底及4月初釋出修補,兩次都被繞過,最後在4月15日的第3次終於修補完成。距通報後已經100多天,而且微軟到第96天才撤銷失竊的憑證。微軟5月底又提高租戶安全隔離,包括短期執行個體(ephemeral instances)及限定範圍的共享Azure Integration Runtimes token 。
Tenable則是批評微軟作業不夠透明,該公司3月發現Synapse 2項漏洞,其中之一即CVE-2022-29972。執行長Amit Yoran則指出,微軟一開始打算悄悄修補,直到研究人員威脅要公布,微軟才決定公開,距離最初通報已89天。
Yoran指出,雖然微軟承認漏洞的重要性,迄今(截至6月13日)卻仍未通知用戶。他說,基礎架構或雲端服務業者欠缺透明度,將使用戶風險大為提升,因為用戶不知自己是否曝險,或已經被攻擊,若不通知客戶,將使其喪失蒐集證據的機會,是不責任的政策。他認為必須讓雲端供應商遵守透明度標準,而對雲端廠商實施獨立IT基礎架構的稽核及評估也有其必要性。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23