CVE-2023-36052 kan afsløre fortrolige oplysninger i offentlige logfiler.
Azure CLI (Azure Command-Line Interface) var angiveligt i stor risiko for at afsløre følsomme oplysninger, inklusive legitimationsoplysninger, når nogen ville interagere med GitHub Actions-logfilerne på platformen, ifølge det seneste blogindlæg fra Microsoft Security Response Center.
MSRC blev gjort opmærksom på sårbarheden, nu kaldet CVE-2023-36052, af en forsker, der fandt ud af, at tweaking Azure CLI-kommandoer kan føre til visning af følsomme data og output til Kontinuerlig Integration og Kontinuerlig Deployering (CI/CD) logs.
Det er ikke første gang, forskere finder ud af, at Microsoft-produkter er sårbare. Tidligere i år gjorde et team af forskere Microsoft opmærksom på, at Teams er meget tilbøjelige til moderne malware, herunder phishing-angreb. Microsoft-produkter er så sårbare at 80 % af Microsoft 365-konti blev hacket i 2022, alene.
Truslen fra CVE-2023-36052 sårbarheden var så stor en risiko, at Microsoft straks greb ind på tværs af alle platforme og Azure-produkter, herunder Azure Pipelines, GitHub Actions og Azure CLI, og forbedret infrastruktur for bedre at kunne modstå sådanne tweaking.
Som svar på Prismas rapport har Microsoft foretaget flere ændringer på tværs af forskellige produkter, herunder Azure Pipelines, GitHub Actions og Azure CLI, for at implementere mere robust hemmelig redaktion. Denne opdagelse fremhæver det stigende behov for at hjælpe med at sikre, at kunder ikke logger følsomme oplysninger ind i deres repo- og CI/CD-pipelines. Minimering af sikkerhedsrisiko er et fælles ansvar; Microsoft har udstedt en opdatering til Azure CLI for at forhindre hemmeligheder i at blive outputtet, og kunder forventes at være proaktive i forhold til at tage skridt til at sikre deres arbejdsbelastninger.
Microsoft
Hvad kan du gøre for at undgå risikoen for at miste følsomme oplysninger til CVE-2023-36052 sårbarheden?
Den Redmond-baserede teknologigigant siger, at brugere bør opdatere Azure CLI til den nyeste version (2.54) så hurtigt som muligt. Efter opdatering ønsker Microsoft også, at brugerne følger denne retningslinje:
- Opdater altid Azure CLI til den seneste udgivelse for at modtage de seneste sikkerhedsopdateringer.
- Undgå at udsætte Azure CLI-output i logfiler og/eller offentligt tilgængelige placeringer. Hvis du udvikler et script, der kræver outputværdien, skal du sørge for at bortfiltrere den egenskab, der er nødvendig for scriptet. Gennemse venligst Azure CLI-oplysninger vedrørende outputformater og implementere vores anbefalede vejledning til maskering af en miljøvariabel.
- Roter nøgler og hemmeligheder regelmæssigt. Som en generel bedste praksis opfordres kunderne til regelmæssigt at rotere nøgler og hemmeligheder på en kadence, der fungerer bedst for deres miljø. Se vores artikel om vigtige og hemmelige overvejelser i Azure her.
- Gennemgå vejledningen omkring administration af hemmeligheder til Azure-tjenester.
- Gennemgå GitHubs bedste praksis for sikkerhedshærdning i GitHub Actions.
- Sørg for, at GitHub-lagre er indstillet til private, medmindre andet er nødvendigt for at være offentlige.
- Gennemgå vejledningen til sikring af Azure Pipelines.
Microsoft vil foretage nogle ændringer efter opdagelsen af CVE-2023-36052-sårbarheden på Azure CLI. En af disse ændringer, siger virksomheden, er implementeringen af en ny standardindstilling, der forhindrer følsomme oplysninger mærket som hemmelige fra at blive præsenteret i outputtet af kommandoer til tjenester fra Azure familie.
Brugere skal dog opdatere til 2.53.1 og nyere version af Azure CLI, da den nye standardindstilling ikke vil blive implementeret på ældre versioner.
Den Redmond-baserede teknologigigant udvider også redaktionsmulighederne i både GitHub Actions og Azure Pipelines for bedre at identificere og fange eventuelle Microsoft-udstedte nøgler, der kan afsløres offentligt logs.
Hvis du bruger Azure CLI, skal du sørge for at opdatere platformen til den nyeste version lige nu for at beskytte din enhed og din organisation mod CVE-2023-36052-sårbarheden.
