Az Azure CLI a Microsoft legújabb terméke, amely egy új biztonsági rés miatt komoly veszélynek van kitéve

A CVE-2023-36052 bizalmas információkat tehet közzé a nyilvános naplókban.

Az Azure CLI-t (Azure Command-Line Interface) a jelentések szerint nagy a kockázata annak, hogy bizalmas információkat tesz közzé, beleértve a hitelesítő adatokat is, amikor valaki kapcsolatba lép a GitHub Actions naplókkal a platformon, alapján a legújabb blogbejegyzés a Microsoft Security Response Centerből.

Az MSRC-t egy kutató értesítette a most CVE-2023-36052 néven futó sérülékenységről, aki rájött, hogy az Azure módosítása A CLI parancsok érzékeny adatok megjelenítéséhez és a folyamatos integrációhoz és folyamatos telepítéshez (CI/CD) való kimenethez vezethetnek. rönkök.

Nem ez az első eset, amikor a kutatók rájöttek, hogy a Microsoft termékei sebezhetőek. Az év elején egy kutatócsoport felhívta a Microsoft figyelmét arra, hogy a Teams az nagyon hajlamos a modern rosszindulatú programokra, beleértve az adathalász támadásokat is. A Microsoft termékek annyira sebezhetőek hogy a Microsoft 365-fiókok 80%-át feltörték 2022-ben, egyedül.

A CVE-2023-36052 biztonsági rés veszélye akkora kockázatot jelentett, hogy a Microsoft azonnal lépéseket tett minden platformon és Azure-termékek, köztük az Azure Pipelines, a GitHub Actions és az Azure CLI, valamint a továbbfejlesztett infrastruktúra, hogy jobban ellenálljon csípés.

A Prisma jelentésére válaszul a Microsoft számos változtatást hajtott végre a különböző termékeken, beleértve az Azure Pipelines-t, a GitHub Actions-t és az Azure CLI-t, hogy robusztusabb titkosítást valósítson meg. Ez a felfedezés rávilágít arra, hogy egyre nagyobb szükség van annak biztosítására, hogy az ügyfelek ne naplózzanak bizalmas információkat a repo- és CI/CD-folyamataikban. A biztonsági kockázat minimalizálása közös felelősség; A Microsoft frissítést adott ki az Azure CLI-hez, hogy megakadályozza a titkok kiadását, és az ügyfelektől elvárják, hogy proaktívan tegyenek lépéseket a munkaterhelésük biztonsága érdekében.

Microsoft

Mit tehet, hogy elkerülje a bizalmas adatok elvesztését a CVE-2023-36052 biztonsági rés miatt?

A redmondi technológiai óriás szerint a felhasználóknak a lehető leghamarabb frissíteniük kell az Azure CLI-t a legújabb verzióra (2.54). A frissítés után a Microsoft azt is szeretné elérni, hogy a felhasználók kövesse az alábbi irányelveket:

1. Mindig frissítse az Azure CLI-t a legújabb kiadásra, hogy megkapja a legújabb biztonsági frissítéseket.
2. Kerülje az Azure CLI-kimenet naplókban és/vagy nyilvánosan elérhető helyeken való közzétételét. Ha olyan szkriptet fejleszt, amely megköveteli a kimeneti értéket, győződjön meg arról, hogy kiszűri a szkripthez szükséges tulajdonságot. Kérlek nézd át Az Azure CLI-információi a kimeneti formátumokkal kapcsolatban és hajtsa végre az általunk javasolt útmutató egy környezeti változó elfedéséhez.
3. Rendszeresen forgassa el a kulcsokat és a titkokat. Általános bevált gyakorlatként az ügyfeleket arra ösztönzik, hogy a kulcsokat és a titkokat rendszeresen cseréljék a környezetüknek legjobban megfelelő ütemben. Tekintse meg cikkünket az Azure kulcsfontosságú és titkos szempontjairól itt.
4. Tekintse át az Azure-szolgáltatások titkainak kezelésével kapcsolatos útmutatót.
5. Tekintse át a GitHub bevált gyakorlatait a GitHub Actions biztonsági szigorítására vonatkozóan.
6. Győződjön meg arról, hogy a GitHub-tárolók privátra vannak állítva, hacsak másként nem szükséges nyilvánosak.
7. Tekintse át az Azure Pipelines biztonságossá tételére vonatkozó útmutatót.

A Microsoft végrehajt néhány változtatást a CVE-2023-36052 biztonsági rést az Azure parancssori felületen. A vállalat szerint az egyik ilyen változás egy új alapértelmezett beállítás bevezetése, amely megakadályozza az érzékenységet titkosként címkézett információk nem jelennek meg az Azure-ból származó szolgáltatások parancsainak kimenetében család.

A felhasználóknak azonban frissíteniük kell az Azure parancssori felület 2.53.1-es vagy újabb verziójára, mivel az új alapértelmezett beállítás nem kerül megvalósításra a régebbi verziókban.

A redmondi technológiai óriás emellett bővíti a szerkesztési képességeket a GitHub Actions és a Az Azure Pipelines a Microsoft által kibocsátott, nyilvánosan elérhető kulcsok jobb azonosításához és elfogásához rönkök.

Ha Azure CLI-t használ, feltétlenül frissítse a platformot a legújabb verzióra, hogy megvédje eszközét és szervezetét a CVE-2023-36052 biztonsági réssel szemben.