Vulnérabilité MS Azure Synapse corrigée après six mois de slog

Les pirates éthiques d’Orca Security ont ajouté leurs voix à un nombre croissant de préoccupations dans la communauté sur la façon dont les entreprises de technologie corrigent les vulnérabilités divulguées de manière responsable en temps opportun, après avoir rendu publique une vulnérabilité d’injection de shell critique conduisant à l’exécution de code à distance (RCE) dans Microsoft Azure Synapse – suivie sous le nom de CVE-2022-29972 – qui a pris la plus grande partie de six mois pour être maîtrisée.

Le service Azure Synapse Analytics importe et traite des données provenant d’autres sources, telles qu’Azure Data Lake, Amazon S3 ou CosmosDB, dans des instances ou des espaces de travail qui se connectent à la source de données via un runtime d’intégration, qui peut être hébergé sur site ou dans le cloud Azure.

CVE-2022-29972, baptisé SynLapse, a affecté Synapse Analytics dans Azure et Azure Data Factory. S’il avait été exploité avec succès, il aurait permis aux attaquants de contourner la séparation des locataires et d’obtenir des informations d’identification vers d’autres comptes Azure Synapse, de contrôler leurs espaces de travail Azure Synapse, d’exécuter du code sur des machines ciblées et de divulguer des informations d’identification client.

De plus, a déclaré Tzah Pahima, chercheur chez Orca, un attaquant aurait pu accomplir tout cela tout en ne connaissant rien de plus que le nom d’un espace de travail Azure Synapse.

Pahima et Orca ont soulevé des inquiétudes car, malgré la première approche de Microsoft le 4 janvier 2022, un correctif a pris plus de 100 jours à se concrétiser.

Selon le calendrier d’Orca, l’équipe a attendu plus d’un mois après la divulgation au Microsoft Security Research Centre (MSRC) jusqu’à ce que Microsoft demande des détails supplémentaires pour faciliter son enquête le 19 février, puis à nouveau le 4 mars. Il a ensuite fallu attendre la fin du mois de mars pour déployer un patch initial, qu’Orca affirme avoir contourné le 30 mars.

Le 4 avril, 90 jours après la divulgation, il a de nouveau informé Microsoft que la vulnérabilité existait toujours, et après une série de réunions entre les deux organisations, un correctif de remplacement a été abandonné le 7 avril. L’équipe Orca l’a contourné trois jours plus tard, le 10 avril. Le 15 avril, un troisième patch a été déployé, qui a corrigé le RCE et signalé les vecteurs d’attaque.

Dans une divulgation coordonnée, Orca et MSRC ont rendu public SynLapse le 9 mai, comme indiqué à l’époque, bien qu’ils aient été empêchés de divulguer des détails techniques pour donner aux utilisateurs le temps de les corriger. Il est important de noter qu’il n’y a aucune preuve que la vulnérabilité ait jamais été exploitée dans la nature.

Mais l’histoire ne s’est pas arrêtée là, et à la fin du mois de mai, Microsoft a déployé une solution plus cohérente au problème et a mis en œuvre un certain nombre de recommandations que Pahima a formulées au cours du processus, notamment la mise en œuvre de l’accès à moindre privilège aux serveurs de gestion internes et le déplacement du runtime d’intégration partagé vers une machine virtuelle éphémère (VM) en bac à sable (VM), ce qui signifie que même si un attaquant était capable d’exécuter du code sur le runtime d’intégration, le code ne pourrait jamais être partagé entre différents locataires Azure.

« À la lumière de ces informations, nous pensons maintenant qu’Azure Synapse Analytics fournit une isolation suffisante des locataires », a déclaré Pahima. « En tant que tel, nous avons supprimé les alertes sur Synapse de la plate-forme de sécurité Orca Cloud. Microsoft continue de travailler sur une isolation et un durcissement supplémentaires.

« SynLapse et les vulnérabilités cloud critiques précédentes telles qu’Azure AutoWarp, AWS Superglue et AWS BreakingFormation montrent que rien n’est à l’épreuve des balles et qu’il existe de nombreuses façons pour les attaquants d’atteindre votre environnement cloud. C’est pourquoi il est important d’avoir une visibilité complète sur votre parc cloud, y compris les chemins d’attaque les plus critiques. »

Malgré l’expérience difficile, Pahima a déclaré qu’il n’y avait pas de sentiments durs entre les deux, bien qu’il y ait clairement des leçons à tirer.

« Au cours de ce processus, nous avons travaillé avec un certain nombre de groupes différents au sein de Microsoft », a-t-il déclaré. « Microsoft a été un excellent partenaire dans la résolution de SynLapse et nous apprécions leur esprit de collaboration, leur transparence et leur dévouement à rendre le cloud plus sécurisé pour nos clients communs. »