Tenable descubrió que los entornos Jumpstart para Azure Arc de Microsoft no utilizan correctamente las utilidades de registro comunes entre otros servicios de Azure. Esto lleva a que la información potencialmente sensible, como las credenciales principales del servicio y las credenciales de la base de datos de Arc, se registren en texto plano. Los archivos de registro en los que se almacenan estas credenciales son accesibles para cualquier usuario del sistema. Basándose en este hallazgo, es posible que otros servicios también se vean afectados por un problema similar.
Esto permite a un actor malintencionado ver información potencialmente sensible si obtuviera acceso a uno de estos clientes en cualquier capacidad. También podrían elevar potencialmente los privilegios a los de las cuentas reveladas. Además, es posible que se produzca un compromiso lateral de la infraestructura del cliente si los datos principales del servicio revelados u otras credenciales se utilizan en otro lugar del entorno del cliente.
Azure Arc de Microsoft es una plataforma de gestión diseñada para unir entornos multicloud y otros similares de forma cómoda. El entorno de pruebas en el que se descubrió este problema es el entorno ArcBox Fullbox Jumpstart. Normalmente los scripts tienden a escribir ***REDACTED*** en lugar de cualquier cosa sensible cuando se escribe en un archivo de registro. Sin embargo, en el script de aprovisionamiento de este host, no se realiza este saneamiento.
«El entorno de Arc Jumpstart está pensado para ser utilizado como un entorno de demostración, lo que idealmente disminuye el impacto de las credenciales reveladas – siempre que los usuarios no hayan reutilizado el servicio principal en otro lugar de su entorno», dijo James Sebree, Ingeniero de Investigación Principal de Tenable que descubrió este problema. «Dicho esto, no es raro que los clientes utilicen este tipo de entornos Jumpstart como punto de partida para construir su infraestructura de producción real. Por esa razón, vale la pena ser consciente de este problema en el caso de que existan otros mecanismos de registro en otras partes del ecosistema de Azure, que podrían tener consecuencias más graves si están presentes en un entorno de producción.»
Como remediarlo
Microsoft ha parcheado este problema y ha actualizado su documentación para advertir a los usuarios de la reutilización de credenciales dentro del entorno Jumpstart. Los usuarios con despliegues existentes deben rotar las credenciales principales de servicio utilizadas en su entorno de Arc Jumpstart. Los nuevos despliegues no requieren ninguna acción por parte de los usuarios finales.