Το CVE-2023-36052 μπορεί να αποκαλύψει εμπιστευτικές πληροφορίες σε δημόσια αρχεία καταγραφής.
Το Azure CLI (διεπαφή γραμμής εντολών Azure) φέρεται να διέτρεχε μεγάλο κίνδυνο να εκθέσει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των διαπιστευτηρίων, κάθε φορά που κάποιος αλληλεπιδρά με τα αρχεία καταγραφής ενεργειών GitHub στην πλατφόρμα, σύμφωνα με η τελευταία ανάρτηση στο blog από το Κέντρο απόκρισης ασφαλείας της Microsoft.
Το MSRC ενημερώθηκε για την ευπάθεια, που τώρα ονομάζεται CVE-2023-36052, από έναν ερευνητή που ανακάλυψε ότι η προσαρμογή του Azure Οι εντολές CLI θα μπορούσαν να οδηγήσουν στην εμφάνιση ευαίσθητων δεδομένων και εξόδου σε Συνεχή Ενοποίηση και Συνεχή Ανάπτυξη (CI/CD) κούτσουρα.
Δεν είναι η πρώτη φορά που οι ερευνητές ανακάλυψαν ότι τα προϊόντα της Microsoft είναι ευάλωτα. Νωρίτερα φέτος, μια ομάδα ερευνητών ενημέρωσε τη Microsoft ότι το Teams είναι πολύ επιρρεπής σε σύγχρονο κακόβουλο λογισμικό, συμπεριλαμβανομένων των επιθέσεων phishing. Τα προϊόντα της Microsoft είναι τόσο ευάλωτα ότι το 80% των λογαριασμών Microsoft 365 παραβιάστηκε το 2022, μόνος.
Η απειλή της ευπάθειας CVE-2023-36052 ήταν τόσο μεγάλος που η Microsoft ανέλαβε αμέσως δράση σε όλες τις πλατφόρμες και Προϊόντα Azure, συμπεριλαμβανομένων των Azure Pipelines, GitHub Actions και Azure CLI, και βελτιωμένη υποδομή για καλύτερη αντίσταση σε τέτοια μικροαλλαγές.
Σε απάντηση στην αναφορά του Prisma, η Microsoft έχει κάνει αρκετές αλλαγές σε διαφορετικά προϊόντα, συμπεριλαμβανομένων των Azure Pipelines, GitHub Actions και Azure CLI, για να εφαρμόσει πιο ισχυρή μυστική έκδοση. Αυτή η ανακάλυψη υπογραμμίζει την αυξανόμενη ανάγκη να διασφαλιστεί ότι οι πελάτες δεν καταγράφουν ευαίσθητες πληροφορίες στα αποθέματά τους και στους αγωγούς CI/CD. Η ελαχιστοποίηση του κινδύνου ασφάλειας είναι κοινή ευθύνη. Η Microsoft έχει εκδώσει μια ενημέρωση για το Azure CLI για να αποτρέψει την έξοδο μυστικών και οι πελάτες αναμένεται να είναι προληπτικοί στη λήψη μέτρων για την ασφάλεια του φόρτου εργασίας τους.
Microsoft
Τι μπορείτε να κάνετε για να αποφύγετε τον κίνδυνο απώλειας ευαίσθητων πληροφοριών από την ευπάθεια CVE-2023-36052;
Ο τεχνολογικός γίγαντας με έδρα το Redmond λέει ότι οι χρήστες θα πρέπει να ενημερώσουν το Azure CLI στην πιο πρόσφατη έκδοση (2.54) το συντομότερο δυνατό. Μετά την ενημέρωση, η Microsoft θέλει επίσης οι χρήστες να ακολουθούν αυτήν την οδηγία:
- Να ενημερώνετε πάντα το Azure CLI στην πιο πρόσφατη έκδοση για να λαμβάνετε τις πιο πρόσφατες ενημερώσεις ασφαλείας.
- Αποφύγετε την έκθεση της εξόδου Azure CLI σε αρχεία καταγραφής ή/και σε τοποθεσίες προσβάσιμες στο κοινό. Εάν αναπτύσσετε ένα σενάριο που απαιτεί την τιμή εξόδου, βεβαιωθείτε ότι φιλτράρετε την ιδιότητα που απαιτείται για το σενάριο. Παρακαλώ ελέγξτε Πληροφορίες CLI Azure σχετικά με τις μορφές εξόδου και εφαρμόστε τις συστάσεις μας καθοδήγηση για την απόκρυψη μιας μεταβλητής περιβάλλοντος.
- Περιστρέψτε τακτικά κλειδιά και μυστικά. Ως γενική βέλτιστη πρακτική, οι πελάτες ενθαρρύνονται να περιστρέφουν τακτικά τα κλειδιά και τα μυστικά σε έναν ρυθμό που λειτουργεί καλύτερα για το περιβάλλον τους. Δείτε το άρθρο μας για βασικές και μυστικές εκτιμήσεις στο Azure εδώ.
- Διαβάστε τις οδηγίες σχετικά με τη διαχείριση μυστικών για τις υπηρεσίες Azure.
- Ελέγξτε τις βέλτιστες πρακτικές του GitHub για τη σκλήρυνση της ασφάλειας στο GitHub Actions.
- Βεβαιωθείτε ότι τα αποθετήρια GitHub έχουν οριστεί σε ιδιωτικά, εκτός εάν απαιτείται διαφορετικά να είναι δημόσια.
- Διαβάστε τις οδηγίες για την ασφάλιση των αγωγών Azure.
Η Microsoft θα κάνει κάποιες αλλαγές μετά την ανακάλυψη της ευπάθειας CVE-2023-36052 στο Azure CLI. Μία από αυτές τις αλλαγές, λέει η εταιρεία, είναι η εφαρμογή μιας νέας προεπιλεγμένης ρύθμισης που αποτρέπει το ευαίσθητο πληροφορίες που χαρακτηρίζονται ως μυστικές από την παρουσίασή τους στην έξοδο εντολών για υπηρεσίες από το Azure οικογένεια.
Ωστόσο, οι χρήστες θα πρέπει να ενημερώσουν την έκδοση 2.53.1 και νεότερη του Azure CLI, καθώς η νέα προεπιλεγμένη ρύθμιση δεν θα εφαρμοστεί σε παλαιότερες εκδόσεις.
Ο τεχνολογικός γίγαντας με έδρα το Redmond επεκτείνει επίσης τις δυνατότητες επεξεργασίας τόσο στο GitHub Actions όσο και στο Azure Pipelines για τον καλύτερο εντοπισμό και εντοπισμό τυχόν κλειδιών που έχουν εκδοθεί από τη Microsoft και μπορούν να εκτεθούν δημόσια κούτσουρα.
Εάν χρησιμοποιείτε το Azure CLI, φροντίστε να ενημερώσετε την πλατφόρμα στην πιο πρόσφατη έκδοση αυτή τη στιγμή για να προστατεύσετε τη συσκευή σας και τον οργανισμό σας από την ευπάθεια CVE-2023-36052.
