本ブログは、Microsoft Mitigates Azure Site Recovery Vulnerabilities の抄訳版です。最新の情報は原文を参照してください。
概要
マイクロソフトは最近、Azure Site Recovery (ASR) の一連の脆弱性を軽減し、定期的な月例セキュリティ更新サイクルの一環として、本日 7 月 12 日 (米国時間) に修正プログラムをリリースしました。これらの脆弱性は、VMware/物理 から Azure へのシナリオを使用しているすべての ASR オンプレミスのお客様に影響し、最新の リリース ASR 9.49 で修正されています。 お客様は、セキュリティを維持するために 、https://aka.ms/upgrade-to-9.49 で ASR の最新バージョンに更新することをお勧めします 。
マイクロソフトは、このレプリケーション機能のみに影響する脆弱性が悪用されたことを確認しておらず、お客様のワークロードには影響しません。また、本製品はオンプレミスで提供されるため、テナント間のデータ漏洩のリスクもありません。
さらに、これらの CVE は、攻撃者が ASR オンプレミス環境で正当な資格情報を侵害することを条件としています。この一連の脆弱性の影響を受けていると思われる場合は、 aka.ms/azsupt からサポートケースを起票してサポートを受けてください。
CVE の詳細については、以下の「その他のリファレンス」セクションを参照してください。
脆弱性の影響
以下のタイプの CVE が本日の修正に含まれています。
-
SQL インジェクション (SQLi): 修復された CVE の主なカテゴリは、特権の昇格 (EoP) につながる可能性のある SQLi の脆弱性です。これらの脆弱性を利用するには、攻撃者は ASR で保護された VM の管理者資格情報を必要とします。私たちは、ASR の同様のベクターが強化されるように、入力のサニタイジングを改善し続けています。
-
特権の昇格 (EoP): 2 番目のカテゴリには、SQLi とは無関係の EoP ベクトルが含まれ、これにより、通常のユーザーは特権を昇格できます。そのうちの 1 つが CVE-2022-33675 で、これは本日、当社の研究パートナーの 1 社によって開示され、特に ASR プロセス サーバー コンポーネント に影響を与えます。このコンポーネントは、VMWare から Azure へのディザスター リカバリーのシナリオでのみ使用されます。この特定の脆弱性を利用するには、攻撃者はまず ASR Process Server を実行しているシステムの一般ユーザー資格情報を必要とします。
-
リモートコード実行 (RCE): 3 番目のカテゴリは、ASR アプライアンスに影響を与える RCE 脆弱性です。これらの脆弱性を利用するために、攻撃者は特定の条件下で ASR アプライアンスで任意のコードを実行するために、ASR で保護された VM の管理者資格情報を必要とします。
お客様の対応
要約すると、これらの脆弱性は、VMware/物理 から Azure へのシナリオを使用しているすべての ASR オンプレミスのお客様に影響し、最新の リリース ASR 9.49 で修正されています。 セキュリティで保護された状態を維持するために 、https://aka.ms/upgrade-to-9.49 で ASR の最新バージョンに更新することをお勧めします。
マイクロソフトのお客様の安全を守るために、これらの脆弱性を報告し、マイクロソフト セキュリティ レスポンス センター (MSRC) と協力して 協調的な脆弱性の公開 (Coordinated Vulnerability Disclosure - CVD) に取り組んでくださった研究者コミュニティに感謝します。
その他のリファレンス
- https://aka.ms/upgrade-to-9.49 を参照し、ASR 9.49 にアップグレードしてください。
- CVE の詳細については、セキュリティ更新プログラム ガイドを参照してください。
- セキュリティ修正の詳細については、リリースノートを参照してください。
- 質問がある場合には、Azure ポータル aka.ms/azsupt からサポート ケースを起票してください。