CVE-2023-36052 יכול לחשוף מידע סודי ביומנים ציבוריים.
על פי הדיווחים, Azure CLI (Azure Command-line Interface) היה בסיכון גדול לחשיפת מידע רגיש, כולל אישורים, בכל פעם שמישהו היה מקיים אינטראקציה עם יומני GitHub Actions בפלטפורמה, לפי הפוסט האחרון בבלוג ממרכז התגובה האבטחה של מיקרוסופט.
MSRC הודע על הפגיעות, הנקראת כעת CVE-2023-36052, על ידי חוקר שגילה כי התאמה של Azure פקודות CLI עשויות להוביל להצגת נתונים ופלט רגישים לאינטגרציה מתמשכת ופריסה מתמשכת (CI/CD) יומנים.
זו לא הפעם הראשונה שחוקרים גילו שמוצרי מיקרוסופט פגיעים. מוקדם יותר השנה, צוות חוקרים הודיע למיקרוסופט על כך ש-Teams כן נוטה מאוד לתוכנות זדוניות מודרניות, כולל התקפות דיוג. מוצרי מיקרוסופט כל כך פגיעים ש-80% מחשבונות Microsoft 365 נפרצו ב-2022, לבד.
האיום של פגיעות CVE-2023-36052 היה כה סיכון, שמיקרוסופט נקטה מיד בפעולה בכל הפלטפורמות מוצרי Azure, כולל Azure Pipelines, GitHub Actions ו- Azure CLI, ותשתית משופרת כדי להתנגד טוב יותר התאמה.
בתגובה לדוח של Prisma, מיקרוסופט ביצעה מספר שינויים במוצרים שונים, כולל Azure Pipelines, GitHub Actions ו-Azure CLI, כדי ליישם עריכה סודית חזקה יותר. גילוי זה מדגיש את הצורך ההולך וגובר לעזור להבטיח שלקוחות אינם רושמים מידע רגיש ל-repo ו-CI/CD pipelines שלהם. מזעור סיכון אבטחה הוא אחריות משותפת; מיקרוסופט פרסמה עדכון ל-Azure CLI כדי לסייע במניעת הפלט של סודות ולקוחות צפויים להיות אקטיביים בנקיטת צעדים לאבטחת עומסי העבודה שלהם.
מיקרוסופט
מה אתה יכול לעשות כדי למנוע את הסיכון של אובדן מידע רגיש לפגיעות CVE-2023-36052?
ענקית הטכנולוגיה שבסיסה ברדמונד אומרת שמשתמשים צריכים לעדכן את Azure CLI לגרסה העדכנית ביותר (2.54) בהקדם האפשרי. לאחר העדכון, Microsoft גם רוצה שהמשתמשים יפעלו לפי ההנחיה הזו:
- עדכן תמיד את Azure CLI למהדורה האחרונה כדי לקבל את עדכוני האבטחה האחרונים.
- הימנע מחשיפת פלט Azure CLI ביומנים ו/או במיקומים נגישים לציבור. אם מפתחים סקריפט שדורש את ערך הפלט, ודא שאתה מסנן את המאפיין הדרוש לסקריפט. אנא עיין מידע Azure CLI לגבי פורמטי פלט וליישם את ההמלצה שלנו הדרכה למיסוך משתנה סביבתי.
- סובב מקשים וסודות באופן קבוע. כשיטות עבודה מומלצות כלליות, לקוחות מעודדים לסובב באופן קבוע מפתחות וסודות בקצב המתאים ביותר עבור הסביבה שלהם. עיין במאמר שלנו על שיקולים מרכזיים וסודיים ב-Azure כאן.
- עיין בהנחיות לגבי ניהול סודות עבור שירותי Azure.
- סקור את שיטות העבודה המומלצות של GitHub להקשחת אבטחה ב-GitHub Actions.
- ודא שמאגרי GitHub מוגדרים כפרטיים, אלא אם כן צריך אחרת כדי להיות ציבוריים.
- עיין בהנחיות לאבטחת Azure Pipelines.
מיקרוסופט תבצע כמה שינויים בעקבות גילוי הפגיעות CVE-2023-36052 ב-Azure CLI. אחד השינויים הללו, אומרת החברה, הוא הטמעה של הגדרת ברירת מחדל חדשה המונעת רגישות מידע מסומן כסודי מהצגת פלט של פקודות עבור שירותים מה-Azure מִשׁפָּחָה.
עם זאת, המשתמשים יצטרכו לעדכן לגרסה 2.53.1 ומעלה של Azure CLI, מכיוון שהגדרת ברירת המחדל החדשה לא תיושם בגרסאות ישנות יותר.
ענקית הטכנולוגיה מבוססת רדמונד מרחיבה גם את יכולות העריכה ב-GitHub Actions וגם Azure Pipelines כדי לזהות ולתפוס טוב יותר מפתחות שהונפקו על ידי מיקרוסופט שניתן לחשוף בפומבי יומנים.
אם אתה משתמש ב-Azure CLI, הקפד לעדכן את הפלטפורמה לגרסה העדכנית ביותר ברגע זה כדי להגן על המכשיר שלך והארגון שלך מפני הפגיעות של CVE-2023-36052.
![כיצד לסרוק גוגל דרייב לאיתור וירוסים [השיטות הטובות ביותר]](/f/86f6947b9276c503763266cebbd1513f.jpg?width=300&height=460)