บริการด้านการวิเคราะห์ข้อมูลบน Azure มักใช้ Azure Synapse Analytics ส่วนการทำ ETL ก็มี Azure Data Factory เป็นเครื่องมือ ทั้งสองตัวจะมีการใช้งาน Azure Integration Runtime (IR) ที่ทำหน้าที่รันงานต่างๆ ที่กำหนดไว้ เช่นการโยนข้อมูลจากต้นทางไปปลายทาง, การแปลงข้อมูลต่างๆ ฯลฯ

เมื่อต้นปี 2022 มีนักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ใน Azure IR ที่สามารถสั่งรันโค้ดระยะไกลได้ นำไปสู่การเข้าถึง Synapse workspace ของผู้ใช้รายอื่นและดึง credentials ต่างๆ ของคนอื่นออกมาได้ โดยช่องโหว่นี้มาจากไดรเวอร์ ODBC ที่ Microsoft ใช้งานต่ออีกทีหนึ่ง

นักวิจัยได้รายงานช่องโหว่นี้ไปยัง Microsoft และได้ออก hotfix อันแรกมาเมื่อเดือนมีนาคมก่อนจะแก้ไขช่องโหว่ได้ทั้งหมดเมื่อกลางเดือนเมษายนที่ผ่านมา และปล่อยรายงานฉบับเต็มมาเมื่อวานนี้

หากเรามีการใช้งาน Azure IR แบบโฮสต์บน Azure ไม่ต้องทำอะไรเพราะหลังบ้านจะแพตช์ให้อัตโนมัติ แต่หากใช้งานแบบ Self-hosted IR ขอให้ตรวจสอบเวอร์ชันของ IR ว่าเป็น 5.17.8154.2 แล้วหรือไม่ (หากเปิด auto update ไว้น่าจะได้รับอัพเดตแล้ว)

Microsoft ระบุว่าไม่พบหลักฐานว่ามีลูกค้าของ Azure ถูกโจมตีด้วยช่องโหว่นี้มาก่อน

ที่มา - Bleeping Computer, รายงานฉบับเต็ม

ภาพโดย Microsoft