CVE-2023-36052 kann vertrauliche Informationen in öffentlichen Protokollen offenlegen.
Berichten zufolge bestand bei Azure CLI (Azure Command-Line Interface) ein großes Risiko, vertrauliche Informationen preiszugeben. einschließlich Anmeldeinformationen, wann immer jemand mit den GitHub-Aktionsprotokollen auf der Plattform interagiert, entsprechend der neueste Blogbeitrag vom Microsoft Security Response Center.
MSRC wurde von einem Forscher auf die Schwachstelle aufmerksam gemacht, die jetzt CVE-2023-36052 heißt und die diese Schwachstelle durch eine Optimierung von Azure herausfand CLI-Befehle können dazu führen, dass vertrauliche Daten angezeigt und an Continuous Integration and Continuous Deployment (CI/CD) ausgegeben werden. Protokolle.
Dies ist nicht das erste Mal, dass Forscher herausgefunden haben, dass Microsoft-Produkte anfällig sind. Anfang des Jahres machte ein Forscherteam Microsoft darauf aufmerksam, dass Teams dies ist sehr anfällig für moderne Malware, einschließlich Phishing-Angriffe. Microsoft-Produkte sind so anfällig
dass im Jahr 2022 80 % der Microsoft 365-Konten gehackt wurden, allein.Die Bedrohung durch die Sicherheitslücke CVE-2023-36052 stellte ein derartiges Risiko dar, dass Microsoft sofort Maßnahmen auf allen Plattformen ergriff Azure-Produkte, einschließlich Azure Pipelines, GitHub Actions und Azure CLI, sowie eine verbesserte Infrastruktur, um dem besser zu widerstehen optimieren.
Als Reaktion auf den Bericht von Prisma hat Microsoft mehrere Änderungen an verschiedenen Produkten vorgenommen, darunter Azure Pipelines, GitHub Actions und Azure CLI, um eine robustere Geheimredaktion zu implementieren. Diese Entdeckung unterstreicht den zunehmenden Bedarf, sicherzustellen, dass Kunden keine vertraulichen Informationen in ihren Repo- und CI/CD-Pipelines protokollieren. Die Minimierung des Sicherheitsrisikos ist eine gemeinsame Verantwortung; Microsoft hat ein Update für Azure CLI herausgegeben, um die Ausgabe von Geheimnissen zu verhindern, und von Kunden wird erwartet, dass sie proaktiv Maßnahmen ergreifen, um ihre Arbeitslasten zu sichern.
Microsoft
Was können Sie tun, um das Risiko des Verlusts vertraulicher Informationen durch die Sicherheitslücke CVE-2023-36052 zu vermeiden?
Der in Redmond ansässige Technologieriese sagt, dass Benutzer Azure CLI so schnell wie möglich auf die neueste Version (2.54) aktualisieren sollten. Nach dem Update möchte Microsoft außerdem, dass Benutzer diese Richtlinie befolgen:
- Aktualisieren Sie Azure CLI immer auf die neueste Version, um die neuesten Sicherheitsupdates zu erhalten.
- Vermeiden Sie es, Azure CLI-Ausgaben in Protokollen und/oder an öffentlich zugänglichen Orten verfügbar zu machen. Wenn Sie ein Skript entwickeln, das den Ausgabewert erfordert, stellen Sie sicher, dass Sie die für das Skript benötigte Eigenschaft herausfiltern. Lesen Sie bitte Azure CLI-Informationen zu Ausgabeformaten und unsere Empfehlungen umsetzen Anleitung zum Maskieren einer Umgebungsvariablen.
- Tauschen Sie Schlüssel und Geheimnisse regelmäßig aus. Als allgemeine Best Practice wird den Kunden empfohlen, Schlüssel und Geheimnisse regelmäßig in einem Rhythmus zu wechseln, der für ihre Umgebung am besten geeignet ist. Lesen Sie unseren Artikel zu Überlegungen zu Schlüsseln und Geheimnissen in Azure Hier.
- Lesen Sie die Anleitung zur Geheimnisverwaltung für Azure-Dienste.
- Sehen Sie sich die Best Practices von GitHub für die Sicherheitshärtung in GitHub Actions an.
- Stellen Sie sicher, dass GitHub-Repositorys auf „privat“ eingestellt sind, es sei denn, sie müssen öffentlich sein.
- Lesen Sie die Anleitung zum Sichern von Azure Pipelines.
Microsoft wird nach der Entdeckung der Sicherheitslücke CVE-2023-36052 in der Azure CLI einige Änderungen vornehmen. Eine dieser Änderungen ist nach Angaben des Unternehmens die Implementierung einer neuen Standardeinstellung, die sensible Daten verhindert Als geheim gekennzeichnete Informationen werden nicht in der Ausgabe von Befehlen für Dienste aus Azure angezeigt Familie.
Benutzer müssen jedoch auf die Version 2.53.1 und höher der Azure CLI aktualisieren, da die neue Standardeinstellung in älteren Versionen nicht implementiert wird.
Der in Redmond ansässige Technologieriese erweitert außerdem die Schwärzungsfunktionen sowohl in GitHub Actions als auch in GitHub Actions Azure Pipelines zur besseren Identifizierung und Erfassung aller von Microsoft ausgegebenen Schlüssel, die öffentlich zugänglich gemacht werden können Protokolle.
Wenn Sie Azure CLI verwenden, aktualisieren Sie die Plattform sofort auf die neueste Version, um Ihr Gerät und Ihre Organisation vor der Sicherheitslücke CVE-2023-36052 zu schützen.