CVE-2023-36052 може да разкрие поверителна информация в публични регистрационни файлове.
Съобщава се, че Azure CLI (Azure Command-Line Interface) е бил изложен на голям риск от излагане на чувствителна информация, включително идентификационни данни, когато някой би взаимодействал с регистрационните файлове на GitHub Actions на платформата, Според най-новата публикация в блога от Microsoft Security Response Center.
MSRC беше уведомен за уязвимостта, сега наречена CVE-2023-36052, от изследовател, който установи, че настройването на Azure CLI командите могат да доведат до показване на чувствителни данни и изход към непрекъсната интеграция и непрекъснато внедряване (CI/CD) трупи.
Това не е първият път, когато изследователите установяват, че продуктите на Microsoft са уязвими. По-рано тази година екип от изследователи информира Microsoft, че Teams е силно податливи на модерен зловреден софтуер, включително фишинг атаки. Продуктите на Microsoft са толкова уязвими че 80% от акаунтите в Microsoft 365 са били хакнати през 2022 г, сам.
Заплахата от уязвимостта CVE-2023-36052 беше такъв риск, че Microsoft незабавно предприе действия във всички платформи и Продукти на Azure, включително Azure Pipelines, GitHub Actions и Azure CLI, и подобрена инфраструктура за по-добро противопоставяне на такива настройване.
В отговор на доклада на Prisma Microsoft направи няколко промени в различни продукти, включително Azure Pipelines, GitHub Actions и Azure CLI, за да приложи по-стабилно секретно редактиране. Това откритие подчертава нарастващата необходимост да се гарантира, че клиентите не записват чувствителна информация в своите репо и CI/CD канали. Минимизирането на риска за сигурността е споделена отговорност; Microsoft издаде актуализация на Azure CLI, за да предотврати извеждането на тайни и от клиентите се очаква да бъдат проактивни в предприемането на стъпки за защита на техните работни натоварвания.
Microsoft
Какво можете да направите, за да избегнете риска от загуба на чувствителна информация поради уязвимостта CVE-2023-36052?
Базираният в Редмънд технологичен гигант казва, че потребителите трябва да актуализират Azure CLI до най-новата версия (2.54) възможно най-скоро. След актуализирането Microsoft също така иска потребителите да следват тази насока:
- Винаги актуализирайте Azure CLI до най-новата версия, за да получавате най-новите актуализации за защита.
- Избягвайте излагането на Azure CLI изход в регистрационни файлове и/или публично достъпни местоположения. Ако разработвате скрипт, който изисква изходната стойност, уверете се, че филтрирате свойството, необходимо за скрипта. Моля прегледайте Azure CLI информация относно изходните формати и прилагаме препоръчаните от нас насоки за маскиране на променлива на средата.
- Сменяйте редовно ключовете и тайните. Като обща най-добра практика клиентите се насърчават редовно да сменят ключове и тайни с каданс, който работи най-добре за тяхната среда. Вижте нашата статия за ключови и тайни съображения в Azure тук.
- Прегледайте насоките относно управлението на тайни за услуги на Azure.
- Прегледайте най-добрите практики на GitHub за укрепване на сигурността в GitHub Actions.
- Уверете се, че хранилищата на GitHub са зададени като частни, освен ако не е необходимо друго да бъдат публични.
- Прегледайте ръководството за защита на Azure Pipelines.
Microsoft ще направи някои промени след откриването на уязвимостта CVE-2023-36052 в Azure CLI. Една от тези промени, казва компанията, е внедряването на нова настройка по подразбиране, която предотвратява чувствителните информация, обозначена като тайна, да не бъде представяна в изхода на команди за услуги от Azure семейство.
Потребителите обаче ще трябва да актуализират до 2.53.1 и по-нова версия на Azure CLI, тъй като новата настройка по подразбиране няма да бъде внедрена в по-стари версии.
Базираният в Редмънд технологичен гигант също така разширява възможностите за редактиране както в GitHub Actions, така и Azure Pipelines за по-добро идентифициране и улавяне на всички издадени от Microsoft ключове, които могат да бъдат изложени публично трупи.
Ако използвате Azure CLI, не забравяйте да актуализирате платформата до най-новата версия точно сега, за да защитите вашето устройство и вашата организация срещу уязвимостта CVE-2023-36052.
