CVE-2023-36052 voi paljastaa luottamuksellisia tietoja julkisissa lokeissa.
Azure CLI (Azure Command-Line Interface) -käyttöliittymän kerrottiin olevan suuri riski paljastaa arkaluontoisia tietoja, mukaan lukien kirjautumistiedot aina, kun joku on vuorovaikutuksessa GitHub Actions -lokien kanssa alustalla, mukaan uusin blogikirjoitus Microsoft Security Response Centeristä.
MSRC: n tietoon haavoittuvuudesta, jota nykyään kutsutaan nimellä CVE-2023-36052, tutkija, joka sai selville, että Azurea säädettiin CLI-komennot voivat johtaa arkaluonteisten tietojen näyttämiseen ja jatkuvaan integrointiin ja jatkuvaan käyttöönottoon (CI/CD) tulostukseen. lokit.
Tämä ei ole ensimmäinen kerta, kun tutkijat huomaavat, että Microsoftin tuotteet ovat haavoittuvia. Aiemmin tänä vuonna tutkijaryhmä ilmoitti Microsoftille, että Teams on erittäin altis nykyaikaisille haittaohjelmille, mukaan lukien tietojenkalasteluhyökkäykset. Microsoftin tuotteet ovat niin haavoittuvia että 80 % Microsoft 365 -tileistä hakkeroitiin vuonna 2022, yksin.
CVE-2023-36052-haavoittuvuuden uhka oli niin suuri, että Microsoft ryhtyi välittömästi toimiin kaikilla alustoilla ja Azure-tuotteet, mukaan lukien Azure Pipelines, GitHub Actions ja Azure CLI, sekä parannettu infrastruktuuri, joka vastustaa paremmin tällaisia säätämistä.
Vastauksena Prisman raporttiin Microsoft on tehnyt useita muutoksia eri tuotteisiin, mukaan lukien Azure Pipelines, GitHub Actions ja Azure CLI, toteuttaakseen tehokkaamman salaisen muokkauksen. Tämä löytö korostaa kasvavaa tarvetta auttaa varmistamaan, etteivät asiakkaat kirjaa arkaluonteisia tietoja repo- ja CI/CD-putkistoonsa. Turvallisuusriskien minimointi on yhteinen vastuu; Microsoft on julkaissut Azure CLI: n päivityksen estääkseen salaisuuksien tulostamisen, ja asiakkaiden odotetaan olevan ennakoivia turvatakseen työtaakkansa.
Microsoft
Mitä voit tehdä välttääksesi arkaluonteisten tietojen menettämisen CVE-2023-36052-haavoittuvuuden vuoksi?
Redmondissa toimiva teknologiajätti sanoo, että käyttäjien tulisi päivittää Azure CLI uusimpaan versioon (2.54) mahdollisimman pian. Päivityksen jälkeen Microsoft haluaa myös käyttäjien noudattavan tätä ohjetta:
- Päivitä Azure CLI aina uusimpaan versioon saadaksesi uusimmat tietoturvapäivitykset.
- Vältä Azure CLI -tulosteen paljastamista lokeissa ja/tai julkisesti saatavilla olevissa sijainneissa. Jos kehität skriptiä, joka vaatii tulosarvon, varmista, että suodatat pois komentosarjalle tarvittavan ominaisuuden. Tarkista Azure CLI -tiedot tulostusmuodoista ja toteuttaa suosittelemamme ohjeita ympäristömuuttujan peittämiseen.
- Käännä avaimia ja salaisuuksia säännöllisesti. Yleisenä parhaana käytäntönä on, että asiakkaita kannustetaan säännöllisesti vaihtamaan avaimia ja salaisuuksia ympäristölleen parhaiten sopivalla tahdilla. Katso artikkelimme Azuren tärkeimmistä ja salaisista näkökohdista tässä.
- Tutustu Azure-palveluiden salaisuuksien hallintaan liittyviin ohjeisiin.
- Tutustu GitHubin parhaisiin käytäntöihin tietoturvan vahvistamiseksi GitHub Actionsissa.
- Varmista, että GitHub-tietovarastot on asetettu yksityisiksi, ellei toisin tarvita julkisia.
- Lue ohjeet Azure-putkien suojaamiseksi.
Microsoft tekee joitain muutoksia haavoittuvuuden CVE-2023-36052 löytämisen jälkeen Azure CLI: stä. Yksi näistä muutoksista, yrityksen mukaan, on uuden oletusasetuksen käyttöönotto, joka estää herkkiä salaisiksi merkittyjä tietoja ei voida esittää Azuren palveluiden komentojen tulostuksessa perhe.
Käyttäjien on kuitenkin päivitettävä Azure CLI: n versioon 2.53.1 tai uudempiin, koska uutta oletusasetusta ei oteta käyttöön vanhemmissa versioissa.
Redmondissa toimiva teknologiajätti laajentaa myös editointiominaisuuksia sekä GitHub Actionsissa että Azure Pipelines tunnistaa ja nappaa paremmin kaikki Microsoftin myöntämät avaimet, jotka voidaan paljastaa julkisesti lokit.
Jos käytät Azure CLI: tä, muista päivittää alusta uusimpaan versioon heti, jotta laite ja organisaatiosi suojataan CVE-2023-36052-haavoittuvuudella.
