CVE-2023-36052 može otkriti povjerljive informacije u javnim zapisnicima.
Azure CLI (Azure Command-Line Interface) je navodno bio izložen velikom riziku od izlaganja osjetljivih informacija, uključujući vjerodajnice, kad god bi netko stupio u interakciju s zapisnicima GitHub Actions na platformi, prema najnoviji post na blogu iz Microsoft Security Response Center.
MSRC je bio svjestan ranjivosti, sada nazvane CVE-2023-36052, od strane istraživača koji je otkrio da podešavanje Azurea CLI naredbe mogu dovesti do prikazivanja osjetljivih podataka i izlaza za kontinuiranu integraciju i kontinuiranu implementaciju (CI/CD) cjepanice.
Ovo nije prvi put da su istraživači otkrili da su Microsoftovi proizvodi ranjivi. Ranije ove godine, tim istraživača dao je do znanja Microsoftu da Teams jest vrlo sklon modernom zlonamjernom softveru, uključujući phishing napade. Microsoftovi proizvodi tako su ranjivi da je 80% Microsoft 365 računa bilo hakirano 2022, sama.
Prijetnja ranjivosti CVE-2023-36052 bila je takav rizik da je Microsoft odmah poduzeo mjere na svim platformama i Azure proizvodi, uključujući Azure Pipelines, GitHub Actions i Azure CLI, te poboljšanu infrastrukturu za bolji otpor takvim ugađanje.
Kao odgovor na Prismino izvješće, Microsoft je napravio nekoliko promjena u različitim proizvodima, uključujući Azure Pipelines, GitHub Actions i Azure CLI, kako bi implementirao robusnije tajno uređivanje. Ovo otkriće naglašava sve veću potrebu da se osigura da korisnici ne zapisuju osjetljive informacije u svoje repo i CI/CD kanale. Minimiziranje sigurnosnog rizika zajednička je odgovornost; Microsoft je izdao ažuriranje za Azure CLI kako bi spriječio izlaz tajni i od korisnika se očekuje da budu proaktivni u poduzimanju koraka za osiguranje svojih radnih opterećenja.
Microsoft
Što možete učiniti kako biste izbjegli rizik od gubitka osjetljivih informacija zbog ranjivosti CVE-2023-36052?
Tehnološki div sa sjedištem u Redmondu kaže da bi korisnici trebali ažurirati Azure CLI na najnoviju verziju (2.54) što je prije moguće. Nakon ažuriranja Microsoft također želi da korisnici slijede ove smjernice:
- Uvijek ažurirajte Azure CLI na najnovije izdanje kako biste primili najnovija sigurnosna ažuriranja.
- Izbjegavajte izlaganje Azure CLI izlaza u zapisima i/ili na javno dostupnim lokacijama. Ako razvijate skriptu koja zahtijeva izlaznu vrijednost, provjerite jeste li filtrirali svojstvo potrebno za skriptu. Molimo pregledajte Azure CLI informacije koje se odnose na izlazne formate i implementirati našu preporuku smjernice za maskiranje varijable okoline.
- Redovito mijenjajte ključeve i tajne. Kao opću najbolju praksu, klijente se potiče da redovito rotiraju ključeve i tajne ritmom koji najbolje odgovara njihovom okruženju. Pogledajte naš članak o ključnim i tajnim razmatranjima u Azureu ovdje.
- Pregledajte smjernice o upravljanju tajnama za Azure usluge.
- Pregledajte GitHub najbolje prakse za jačanje sigurnosti u GitHub radnjama.
- Osigurajte da su GitHub repozitoriji postavljeni kao privatni osim ako nije drugačije potrebno da budu javni.
- Pregledajte smjernice za osiguranje Azure Pipelines.
Microsoft će napraviti neke promjene nakon otkrića CVE-2023-36052 ranjivosti na Azure CLI. Jedna od tih promjena, kaže tvrtka, je implementacija nove zadane postavke koja sprječava osjetljive informacije označene kao tajne da se ne prikazuju u izlazu naredbi za usluge iz Azurea obitelj.
Međutim, korisnici će morati izvršiti ažuriranje na verziju 2.53.1 i noviju verziju Azure CLI-ja jer se nova zadana postavka neće implementirati na starije verzije.
Tehnički div sa sjedištem u Redmondu također proširuje mogućnosti uređivanja u GitHub Actions i Azure Pipelines za bolju identifikaciju i hvatanje svih ključeva koje je izdao Microsoft i koji mogu biti javno izloženi cjepanice.
Ako koristite Azure CLI, odmah ažurirajte platformu na najnoviju verziju kako biste zaštitili svoj uređaj i svoju organizaciju od ranjivosti CVE-2023-36052.
