CVE-2023-36052 může odhalit důvěrné informace ve veřejných protokolech.
Azure CLI (Azure Command-Line Interface) bylo údajně vystaveno velkému riziku odhalení citlivých informací, včetně přihlašovacích údajů, kdykoli by někdo interagoval s protokoly akcí GitHub na platformě, podle nejnovější příspěvek na blogu z centra Microsoft Security Response Center.
Na chybu zabezpečení, která se nyní nazývá CVE-2023-36052, upozornil MSRC výzkumník, který zjistil, že ladění Azure Příkazy CLI by mohly vést k zobrazení citlivých dat a výstupu do průběžné integrace a průběžného zavádění (CI/CD) protokoly.
Není to poprvé, co výzkumníci zjistili, že produkty společnosti Microsoft jsou zranitelné. Začátkem tohoto roku tým výzkumníků upozornil Microsoft, že Teams je vysoce náchylné k modernímu malwaruvčetně phishingových útoků. Produkty společnosti Microsoft jsou tak zranitelné že 80 % účtů Microsoft 365 bylo v roce 2022 napadeno hackery, sama.
Hrozba zranitelnosti CVE-2023-36052 byla takovým rizikem, že společnost Microsoft okamžitě přijala opatření napříč všemi platformami a Produkty Azure, včetně Azure Pipelines, GitHub Actions a Azure CLI, a vylepšená infrastruktura pro lepší odolnost proti ladění.
V reakci na zprávu společnosti Prisma provedl Microsoft několik změn v různých produktech, včetně Azure Pipelines, GitHub Actions a Azure CLI, aby implementoval robustnější tajnou editaci. Tento objev zdůrazňuje rostoucí potřebu pomoci zajistit, aby zákazníci nezapisovali citlivé informace do svých repo a CI/CD kanálů. Minimalizace bezpečnostních rizik je sdílenou odpovědností; Společnost Microsoft vydala aktualizaci Azure CLI, aby pomohla zabránit výstupu tajných informací a od zákazníků se očekává, že budou proaktivní při provádění kroků k zabezpečení svých úloh.
Microsoft
Co můžete udělat, abyste se vyhnuli riziku ztráty citlivých informací kvůli zranitelnosti CVE-2023-36052?
Technologický gigant se sídlem v Redmondu říká, že uživatelé by měli co nejdříve aktualizovat Azure CLI na nejnovější verzi (2.54). Po aktualizaci Microsoft také chce, aby se uživatelé řídili tímto pokynem:
- Vždy aktualizujte Azure CLI na nejnovější verzi, abyste získali nejnovější aktualizace zabezpečení.
- Vyhněte se odhalení výstupu Azure CLI v protokolech a/nebo veřejně přístupných umístěních. Pokud vyvíjíte skript, který vyžaduje výstupní hodnotu, ujistěte se, že jste odfiltrovali vlastnost potřebnou pro skript. Zkontrolujte prosím Informace Azure CLI týkající se výstupních formátů a implementovat námi doporučené návod pro maskování proměnné prostředí.
- Klíče a tajemství pravidelně otáčejte. Jako obecný osvědčený postup se zákazníkům doporučuje, aby pravidelně střídali klíče a tajné informace v takovém rytmu, který nejlépe vyhovuje jejich prostředí. Podívejte se na náš článek o klíčových a tajných aspektech v Azure tady.
- Projděte si pokyny ke správě tajných klíčů pro služby Azure.
- Přečtěte si osvědčené postupy GitHubu pro posílení zabezpečení v akcích GitHubu.
- Ujistěte se, že jsou úložiště GitHub nastavena jako soukromá, pokud není potřeba, aby byla veřejná.
- Přečtěte si pokyny k zabezpečení Azure Pipelines.
Společnost Microsoft provede některé změny po zjištění chyby zabezpečení CVE-2023-36052 v Azure CLI. Jednou z těchto změn, říká společnost, je implementace nového výchozího nastavení, které zabraňuje citlivým informace označené jako tajné nebudou prezentovány ve výstupu příkazů pro služby z Azure rodina.
Uživatelé však budou muset aktualizovat na verzi 2.53.1 a vyšší Azure CLI, protože nové výchozí nastavení nebude implementováno ve starších verzích.
Technologický gigant se sídlem v Redmondu také rozšiřuje možnosti redakce v akcích GitHub a Azure Pipelines pro lepší identifikaci a zachycení všech klíčů vydaných společností Microsoft, které mohou být zveřejněny protokoly.
Pokud používáte Azure CLI, nezapomeňte hned teď aktualizovat platformu na nejnovější verzi, abyste ochránili své zařízení a svou organizaci před zranitelností CVE-2023-36052.
