Microsoft Azure の Integration Runtime の RCE 脆弱性 CVE-2022-29972 が FIX

Microsoft releases fixes for Azure flaw allowing RCE attacks

2022/05/09 BleepingComputer — Microsoft は、Azure Synapse/Azure Data Factory パイプラインに影響を及ぼす、セキュリティ上の欠陥に対応する更新プログラムをリリースし、Integration Runtime インフラストラクチャ全体での、攻撃者によるリモートコマンド実行を阻止した。Integration Runtime (IR) のコンピューティング基盤は、Azure Synapse および Azure Data Factory のパイプラインで使用され、ネットワーク環境全体でデータ統合する機能 (データフロー/アクティビティのディスパッチ/SQL Server Integration Services (SSIS) パッケージ実行) を提供するものだ。

この、Orca Security により報告された脆弱性 CVE-2022-29972 は、4月15日には緩和され、修正プログラムがリリースされる前に悪用された形跡はないという。

今日、Microsoft は、「この脆弱性は、Amazon Redshift への接続に使用されるサードパーティ製の ODBC データ・コネクタである、Azure Synapse Pipelines のIntegration Runtime (IR) および Azure Data Factory で発見された」とアドバイザリで述べている

同社は、Microsoft Security Response Center (MSRC) のブログ記事で、「この脆弱性の悪用に成功した攻撃者は、単一のテナントに限定されない IR インフラストラクチャ全体で、リモートコマンドを実行する可能性がある」と付け加えている。

この Amazon Redshift 用 ODBC コネクタの脆弱性悪用に成功すると、Synapse パイプラインでジョブを実行している悪意の攻撃者が、リモートコマンドを実行できるようになる。それに続く攻撃段階では、Azure Data Factory のサービス証明書を盗み出し、別のテナントの Azure Data Factory Integration Runtimes でもコマンドを実行できる可能性が生じる。

対策のための方法

Microsoft は、Azure (Azure Integration Runtime) または、オンプレミス (Self-Hosted Integration Runtime) で自動更新を有効にしているユーザーは、この欠陥を緩和するために自身で対処する必要はないとしている。自動更新をオンにしていないセルフホスト IR のユーザーの場合には、Azure Service Health Alerts (ID: MLC3-LD0) を介して、デプロイメントを保護するよう既に通知しているという。

Microsoft は、セルフホスト型 IR について、同社のダウンロード・センターで公開されている最新版 (5.17.8154.2) に更新するようアドバイスしている。
これらのアップデートは、Windows 11 および Windows Server 2022 などの最新プラットフォーム上の、.NET Framework 4.7.2 以上の 64 Bit システムにインストールできる。

同社は、「さらなる保護のために、より優れたコンピューティングとネットワークの分離を提供する、Managed Virtual Network で Synapse ワークスペースを構成することを推奨する。Azure Data Factory を使用するユーザーであれば、Managed Virtual Network を使用して Azure 統合ランタイムを有効にできる」と述べている。

CVE-2022-29972 を完全に緩和する詳細な方式については、MSRC のブログの Customer Recommendations and Additional Support を参照してほしい。

情報公開のタイムライン

  • 1月4日:Orca から Microsoft に問題が報告される。
  • 3月2日:Microsoft は初期修正プログラムの提供を完了。
  • 3月11日:Microsoft は、影響を受けるユーザーを特定し通知した。
  • 3月30日:Orca から Microsoft に、追加の攻撃経路情報が通知された。
  • 4月13日 : Orca から Microsoft に2つ目の攻撃経路の存在が通知される。
  • 4月15日:新たに報告された2つの攻撃経路に対する修正が提供される。

3月に Microsoft は、AutoWarpと呼ばれる Azure Automation サービスの脆弱性を悪用する攻撃者が、他の Azure ユーザーのデータを完全に制御する問題について発表している。この問題も、Orca Security が報告したものであり、昨年の 12月に修正されたとしている。

また、4月には、Azure Database for PostgreSQL Flexible Server の、ExtraReplica と呼ばれる一連の深刻な脆弱性に対処し、悪意のユーザーによる認証バイパスと、他のユーザーのデータベースへのアクセスという問題に対処した。

このほかにも、Azure Cosmos DB/Open Management Infrastructure (OMI)/Azure App Service などの、Microsoft Azure の不具合が昨年に修正されている。

Microsoft Azure の脆弱性ですが、クラウド・セキュリティへの関心が高まったことが影響しているのか、このところ多発しているようです。最近の記事としては、3月7日の「Microsoft が Azure の深刻なバグを FIX:Managed Identities 認証トークンの窃取が可能」や、4月28日の「Microsoft Azure Database for PostgreSQL における深刻な脆弱性が FIX」などがあります。よろしければ、Azure で検索も、ご利用ください。

%d bloggers like this: