CVE-2023-36052 võib avalikes logides avaldada konfidentsiaalset teavet.
Väidetavalt oli Azure CLI-l (Azure Command-Line Interface) suur oht paljastada tundlikku teavet, sealhulgas mandaadid, kui keegi suhtleb platvormi GitHubi toimingute logidega, vastavalt viimane blogipostitus Microsoft Security Response Centerist.
MSRC-d teavitas haavatavusest, mida nüüd nimetatakse CVE-2023-36052, teadlane, kes avastas, et Azure'i kohandamine CLI-käsud võivad viia tundlike andmete kuvamiseni ja pideva integreerimise ja pideva juurutamise (CI/CD) väljastamiseni. palgid.
See pole esimene kord, kui teadlased avastavad, et Microsofti tooted on haavatavad. Selle aasta alguses andis teadlaste meeskond Microsoftile teada, et Teams on väga vastuvõtlik kaasaegsele pahavarale, sealhulgas andmepüügirünnakud. Microsofti tooted on nii haavatavad et 80% Microsoft 365 kontodest häkiti 2022. aastal, üksi.
Haavatavuse CVE-2023-36052 oht oli nii suur, et Microsoft võttis kohe kasutusele kõik platvormid ja Azure'i tooted, sealhulgas Azure'i torujuhtmed, GitHubi toimingud ja Azure'i CLI, ning täiustatud infrastruktuur, et sellistele asjadele paremini vastu seista. tutistamine.
Vastuseks Prisma aruandele on Microsoft teinud mitmeid muudatusi erinevates toodetes, sealhulgas Azure Pipelines, GitHub Actions ja Azure CLI, et rakendada tugevamat salajase redigeerimist. See avastus rõhutab kasvavat vajadust aidata tagada, et kliendid ei logiks tundlikku teavet oma repo- ja CI/CD-konveieritesse. Turvariski minimeerimine on jagatud vastutus; Microsoft on välja andnud Azure CLI värskenduse, et aidata vältida saladuste väljastamist ja klientidelt oodatakse ennetavat tegevust oma töökoormuse kaitsmiseks.
Microsoft
Mida saate teha, et vältida tundliku teabe kaotamist haavatavuse CVE-2023-36052 tõttu?
Redmondis asuv tehnoloogiahiiglane ütleb, et kasutajad peaksid Azure CLI-d võimalikult kiiresti värskendama uusimale versioonile (2.54). Pärast värskendamist soovib Microsoft, et kasutajad järgiksid ka seda juhist:
- Värskendage Azure CLI-d alati uusimale versioonile, et saada uusimaid turvavärskendusi.
- Vältige Azure CLI väljundi paljastamist logides ja/või avalikult juurdepääsetavates kohtades. Väljundväärtust nõudva skripti arendamisel veenduge, et filtreerite välja skripti jaoks vajaliku atribuudi. Palun vaadake üle Azure CLI teave väljundvormingute kohta ja rakendage meie soovitusi juhised keskkonnamuutuja maskeerimiseks.
- Pöörake võtmeid ja saladusi regulaarselt. Üldise parima tava kohaselt julgustatakse kliente võtmeid ja saladusi regulaarselt vahetama vastavalt nende keskkonnale kõige paremini sobivale sagedusele. Vaadake meie artiklit Azure'i peamiste ja salajaste kaalutluste kohta siin.
- Vaadake üle Azure'i teenuste saladuste haldamise juhised.
- Vaadake üle GitHubi parimad tavad GitHubi toimingutes turvalisuse tugevdamiseks.
- Veenduge, et GitHubi hoidlad oleksid privaatseteks seatud, välja arvatud juhul, kui avalikuks olemiseks on vaja teisiti.
- Vaadake üle juhised Azure'i torujuhtmete turvamiseks.
Microsoft teeb mõned muudatused pärast Azure CLI-s haavatavuse CVE-2023-36052 avastamist. Üks neist muudatustest, ütleb ettevõte, on uue vaikeseadete rakendamine, mis takistab tundlikkust salajaseks märgistatud teabe esitamine Azure'i teenuste käskude väljundis perekond.
Kasutajad peavad aga värskendama Azure CLI versioonile 2.53.1 ja uuemale versioonile, kuna uut vaikeseadet vanemates versioonides ei rakendata.
Redmondis asuv tehnoloogiahiiglane laiendab ka redigeerimisvõimalusi nii GitHubi toimingutes kui ka Azure Pipelines, et paremini tuvastada ja püüda kõiki Microsofti väljastatud võtmeid, mida saab avalikult eksponeerida palgid.
Kui kasutate Azure CLI-d, värskendage kindlasti platvorm kohe uusimale versioonile, et kaitsta oma seadet ja organisatsiooni haavatavuse CVE-2023-36052 eest.
