米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は5月10日(米国時間)、「Microsoft Releases Security Advisory for Azure Data Factory and Azure Synapse Pipelines|CISA」において、Azure Data FactoryおよびAzure Synapse Pipelinesに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- ADV220001 - Security Update Guide - Microsoft - Upcoming improvements to Azure Data Factory and Azure Synapse Pipeline infrastructure in response to CVE-2022-29972
- Vulnerability mitigated in the third-party Data Connector used in Azure Synapse pipelines and Azure Data Factory (CVE-2022-29972) – Microsoft Security Response Center
Azureクラウド(Azureインテグレーションランタイム)またはオンプレミス(セフトホストインテグレーションランタイム)で、自動更新を有効にしている場合は、すでにアップデートが適用されておりユーザー側のアクションは必要ないとされている。自動更新を行わないセルフホストのインテグレーションランタイムを運用している場合、環境(SHIR)をバージョン5.17.8154.2へ更新する必要があるとのことだ。アップデート方法などは上記のページにまとまっている。
脆弱性は深刻度が緊急(Critical)と分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。