Los piratas informáticos éticos de Orca Security han sumado sus voces a un número creciente de preocupaciones en la comunidad sobre cómo las empresas tecnológicas solucionan las vulnerabilidades reveladas de manera responsable de manera oportuna, después de hacer pública una vulnerabilidad crítica de inyección de shell que conduce a la ejecución remota de código (RCE). en Microsoft Azure Synapse, rastreado como CVE-2022-29972, que ha tomado la mayor parte de seis meses para ponerse al día.
El servicio Azure Synapse Analytics importa y procesa datos de otras fuentes, como Azure Data Lake, Amazon S3 o CosmosDB, en instancias o áreas de trabajo que se conectan a la fuente de datos a través de un tiempo de ejecución de integración, que se puede hospedar en las instalaciones o en la Nube Azul.
CVE-2022-29972, denominado SynLapse, afectó a Synapse Analytics en Azure y Azure Data Factory. Si se explota con éxito, habría permitido a los atacantes eludir la separación de inquilinos y obtener credenciales para otras cuentas de Azure Synapse, controlar sus espacios de trabajo de Azure Synapse, ejecutar código en máquinas objetivo y filtrar credenciales de clientes.
Es más, dijo el investigador de Orca Tzah Pahimaun atacante habría podido lograr todo esto sabiendo nada más que el nombre de un área de trabajo de Azure Synapse.
Pahima y Orca han expresado su preocupación porque, a pesar de que se acercaron por primera vez a Microsoft el 4 de enero de 2022, la solución tardó más de 100 días en materializarse.
Según la línea de tiempo de Orca, el equipo esperó más de un mes desde la divulgación al Centro de Investigación de Seguridad de Microsoft (MSRC) hasta que Microsoft solicitó detalles adicionales para ayudar en su investigación el 19 de febrero y nuevamente el 4 de marzo. Luego tomó hasta finales de marzo implementar un parche inicial, que Orca afirma que omitió el 30 de marzo.
El 4 de abril, 90 días después de la divulgación, nuevamente notificó a Microsoft que la vulnerabilidad aún existía y, después de una serie de reuniones entre las dos organizaciones, se lanzó un parche de reemplazo el 7 de abril. El equipo de Orca lo pasó por alto tres días después, el 10 de abril. El 15 de abril, se implementó un tercer parche que arregló el RCE e informó sobre los vectores de ataque.
En una divulgación coordinada, Orca y MSRC hicieron público SynLapse el 9 de mayo, como se informó en ese momento, aunque se abstuvieron de revelar los detalles técnicos para darles a los usuarios tiempo para parchear. Es importante tener en cuenta que no hay evidencia de que la vulnerabilidad haya sido alguna vez explotada en la naturaleza.
Pero la historia no terminó ahí y, a fines de mayo, Microsoft implementó una solución más consistente para el problema e implementó una serie de recomendaciones que hizo Pahima durante el proceso, incluida la implementación del acceso con privilegios mínimos a los servidores de administración internos y el traslado de la tiempo de ejecución de integración compartido a una máquina virtual efímera (VM) en espacio aislado, lo que significa que incluso si un atacante pudiera ejecutar código en el tiempo de ejecución de integración, el código nunca podría compartirse entre diferentes inquilinos de Azure.
“A la luz de esta información, ahora creemos que Azure Synapse Analytics proporciona suficiente aislamiento de inquilinos”, dijo Pahima. “Como tal, hemos eliminado las alertas sobre Synapse desde la plataforma de seguridad en la nube de Orca. Microsoft continúa trabajando en aislamiento y refuerzo adicionales.
“SynLapse y las vulnerabilidades críticas de la nube anteriores, como Azure AutoWarp, AWS Superglue y AWS BreakingFormation, muestran que nada es infalible y que hay muchas formas en que los atacantes pueden llegar a su entorno de nube. Por eso es importante tener una visibilidad completa de su entorno en la nube, incluidas las rutas de ataque más críticas”.
A pesar de la tensa experiencia, Pahima dijo que no había resentimientos entre los dos, aunque claramente hay lecciones que aprender.
“Durante este proceso, trabajamos con varios grupos diferentes dentro de Microsoft”, dijo. “Microsoft fue un gran socio en el trabajo para resolver SynLapse y apreciamos su espíritu de colaboración, transparencia y dedicación para ayudar a que la nube sea más segura para nuestros clientes conjuntos”.
