CVE-2023-36052 può esporre informazioni riservate nei registri pubblici.
Secondo quanto riferito, la CLI di Azure (Azure Command-Line Interface) correva un grande rischio di esporre informazioni sensibili, comprese le credenziali, ogni volta che qualcuno interagisce con i log delle azioni GitHub sulla piattaforma, secondo l'ultimo post del blog dal Microsoft Security Response Center.
MSRC è venuta a conoscenza della vulnerabilità, ora denominata CVE-2023-36052, da un ricercatore che ha scoperto che modificando Azure I comandi CLI potrebbero portare a mostrare dati sensibili e output in Continuous Integration e Continuous Deployment (CI/CD) registri.
Questa non è la prima volta che i ricercatori scoprono che i prodotti Microsoft sono vulnerabili. All'inizio di quest'anno, un team di ricercatori ha informato Microsoft dell'esistenza di Teams altamente incline al malware moderno, compresi gli attacchi di phishing. I prodotti Microsoft sono così vulnerabili che l'80% degli account Microsoft 365 sono stati violati nel 2022, solo.
La minaccia della vulnerabilità CVE-2023-36052 era tale che Microsoft è intervenuta immediatamente su tutte le piattaforme e Prodotti Azure, tra cui Azure Pipelines, GitHub Actions e l'interfaccia della riga di comando di Azure, e un'infrastruttura migliorata per resistere meglio a tali fenomeni modifica.
In risposta al rapporto di Prisma, Microsoft ha apportato diverse modifiche a diversi prodotti, tra cui Azure Pipelines, GitHub Actions e Azure CLI, per implementare una redazione segreta più solida. Questa scoperta evidenzia la crescente necessità di garantire che i clienti non registrino informazioni sensibili nei loro repository e nelle pipeline CI/CD. Ridurre al minimo i rischi per la sicurezza è una responsabilità condivisa; Microsoft ha rilasciato un aggiornamento all'interfaccia della riga di comando di Azure per impedire l'output dei segreti e ci si aspetta che i clienti siano proattivi nell'adottare misure per proteggere i propri carichi di lavoro.
Microsoft
Cosa puoi fare per evitare il rischio di perdere informazioni sensibili a causa della vulnerabilità CVE-2023-36052?
Il colosso tecnologico con sede a Redmond afferma che gli utenti dovrebbero aggiornare la CLI di Azure all'ultima versione (2.54) il prima possibile. Dopo l'aggiornamento, Microsoft desidera inoltre che gli utenti seguano queste linee guida:
- Aggiorna sempre l'interfaccia della riga di comando di Azure alla versione più recente per ricevere gli aggiornamenti di sicurezza più recenti.
- Evitare di esporre l'output dell'interfaccia della riga di comando di Azure nei log e/o in percorsi accessibili pubblicamente. Se si sviluppa uno script che richiede il valore di output, assicurarsi di filtrare la proprietà necessaria per lo script. Per favore ricontrolla Informazioni dell'interfaccia della riga di comando di Azure relative ai formati di output e implementare le nostre raccomandazioni guida per mascherare una variabile di ambiente.
- Ruota regolarmente chiavi e segreti. Come procedura consigliata generale, i clienti sono incoraggiati a ruotare regolarmente chiavi e segreti in base alla cadenza più adatta al proprio ambiente. Vedi il nostro articolo sulle considerazioni chiave e segrete in Azure Qui.
- Esaminare le indicazioni sulla gestione dei segreti per i servizi di Azure.
- Esamina le best practice di GitHub per il rafforzamento della sicurezza nelle azioni GitHub.
- Assicurati che i repository GitHub siano impostati su privati a meno che non sia necessario che siano pubblici.
- Esaminare le linee guida per proteggere Azure Pipelines.
Microsoft apporterà alcune modifiche in seguito alla scoperta della vulnerabilità CVE-2023-36052 sull'interfaccia della riga di comando di Azure. Uno di questi cambiamenti, spiega l'azienda, è l'implementazione di una nuova impostazione predefinita che impedisce l'accesso sensibile le informazioni etichettate come segrete non vengano presentate nell'output dei comandi per i servizi di Azure famiglia.
Tuttavia, gli utenti dovranno eseguire l'aggiornamento alla versione 2.53.1 e successive dell'interfaccia della riga di comando di Azure, poiché la nuova impostazione predefinita non verrà implementata nelle versioni precedenti.
Il colosso tecnologico con sede a Redmond sta inoltre espandendo le capacità di redazione sia in GitHub Actions che Azure Pipelines per identificare e intercettare meglio eventuali chiavi emesse da Microsoft che possono essere esposte in pubblico registri.
Se usi l'interfaccia della riga di comando di Azure, assicurati di aggiornare subito la piattaforma alla versione più recente per proteggere il tuo dispositivo e la tua organizzazione dalla vulnerabilità CVE-2023-36052.
