CVE-2023-36052 dapat mengungkap informasi rahasia di log publik.
Azure CLI (Azure Command-Line Interface) dilaporkan berisiko besar mengungkap informasi sensitif, termasuk kredensial, setiap kali seseorang berinteraksi dengan log Tindakan GitHub di platform, berdasarkan postingan blog terbaru dari Pusat Respons Keamanan Microsoft.
MSRC diberi tahu tentang kerentanan tersebut, yang sekarang disebut CVE-2023-36052, oleh seorang peneliti yang menemukan bahwa mengubah Azure Perintah CLI dapat menampilkan data dan keluaran sensitif ke Continuous Integration and Continuous Deployment (CI/CD) log.
Ini bukan pertama kalinya para peneliti menemukan bahwa produk Microsoft rentan. Awal tahun ini, tim peneliti memberi tahu Microsoft bahwa Teams memang demikian sangat rentan terhadap malware modern, termasuk serangan phishing. Produk Microsoft sangat rentan bahwa 80% akun Microsoft 365 diretas pada tahun 2022, sendiri.
Ancaman kerentanan CVE-2023-36052 sangat besar, sehingga Microsoft segera mengambil tindakan di semua platform dan Produk Azure, termasuk Azure Pipelines, GitHub Actions, dan Azure CLI, serta infrastruktur yang ditingkatkan untuk lebih menolak hal tersebut mengutak-atik.
Menanggapi laporan Prisma, Microsoft telah membuat beberapa perubahan di berbagai produk, termasuk Azure Pipelines, GitHub Actions, dan Azure CLI, untuk menerapkan redaksi rahasia yang lebih kuat. Penemuan ini menyoroti meningkatnya kebutuhan untuk membantu memastikan pelanggan tidak memasukkan informasi sensitif ke dalam repo dan saluran CI/CD mereka. Meminimalkan risiko keamanan adalah tanggung jawab bersama; Microsoft telah mengeluarkan pembaruan pada Azure CLI untuk membantu mencegah rahasia dikeluarkan dan pelanggan diharapkan proaktif dalam mengambil langkah-langkah untuk mengamankan beban kerja mereka.
Microsoft
Apa yang dapat Anda lakukan untuk menghindari risiko kehilangan informasi sensitif akibat kerentanan CVE-2023-36052?
Raksasa teknologi yang berbasis di Redmond ini mengatakan pengguna harus memperbarui Azure CLI ke versi terbaru (2.54) sesegera mungkin. Setelah pembaruan, Microsoft juga ingin pengguna mengikuti pedoman ini:
- Selalu perbarui Azure CLI ke rilis terbaru untuk menerima pembaruan keamanan terkini.
- Hindari mengekspos output Azure CLI di log dan/atau lokasi yang dapat diakses publik. Jika mengembangkan skrip yang memerlukan nilai output, pastikan Anda memfilter properti yang diperlukan untuk skrip tersebut. Silakan tinjau Informasi Azure CLI mengenai format output dan menerapkan rekomendasi kami panduan untuk menutupi variabel lingkungan.
- Putar kunci dan rahasia secara teratur. Sebagai praktik terbaik secara umum, pelanggan didorong untuk secara teratur merotasi kunci dan rahasia dengan irama yang paling sesuai dengan lingkungan mereka. Lihat artikel kami tentang pertimbangan kunci dan rahasia di Azure Di Sini.
- Tinjau panduan seputar manajemen rahasia untuk layanan Azure.
- Tinjau praktik terbaik GitHub untuk penguatan keamanan di GitHub Actions.
- Pastikan repositori GitHub disetel ke pribadi kecuali jika diperlukan untuk bersifat publik.
- Tinjau panduan untuk mengamankan Azure Pipelines.
Microsoft akan melakukan beberapa perubahan setelah ditemukannya kerentanan CVE-2023-36052 di Azure CLI. Salah satu perubahan tersebut, kata perusahaan, adalah penerapan pengaturan default baru yang mencegah sensitif informasi yang diberi label rahasia agar tidak disajikan dalam output perintah untuk layanan dari Azure keluarga.
Namun, pengguna perlu memperbarui Azure CLI ke versi 2.53.1 dan yang lebih baru, karena pengaturan default baru tidak akan diterapkan pada versi yang lebih lama.
Raksasa teknologi yang berbasis di Redmond ini juga memperluas kemampuan redaksi di GitHub Actions dan Azure Pipelines untuk mengidentifikasi dan menangkap dengan lebih baik kunci apa pun yang dikeluarkan Microsoft yang dapat diekspos ke publik log.
Jika Anda menggunakan Azure CLI, pastikan untuk memperbarui platform ke versi terbaru sekarang juga untuk melindungi perangkat dan organisasi Anda dari kerentanan CVE-2023-36052.
