Azure CLI は、新たな脆弱性により深刻な危険にさらされている最新の Microsoft 製品です

CVE-2023-36052 では、公開ログ内の機密情報が公開される可能性があります。

Azure CLI (Azure Command-Line Interface) は機密情報が漏洩する大きなリスクにさらされていると報告されています。認証情報を含む、誰かがプラットフォーム上の GitHub Actions ログを操作するたびに、によると最新のブログ投稿 Microsoft セキュリティレスポンスセンターから。

MSRC は、Azure を微調整することを発見した研究者によって、現在 CVE-2023-36052 と呼ばれているこの脆弱性を認識しました。 CLI コマンドにより、機密データが表示され、継続的インテグレーションおよび継続的デプロイメント (CI/CD) への出力が表示される可能性があります。ログ。

研究者が Microsoft 製品に脆弱性があることを発見したのはこれが初めてではありません。今年の初めに、研究者のチームが Microsoft に、Teams が最新のマルウェアに非常に感染しやすいフィッシング攻撃を含む。 Microsoft製品は非常に脆弱です 2022 年に Microsoft 365 アカウントの 80% がハッキングされた、一人で。

CVE-2023-36052 脆弱性の脅威は非常に危険であったため、Microsoft はすべてのプラットフォームに対して直ちに措置を講じました。 Azure Pipelines、GitHub Actions、Azure CLI などの Azure 製品と、そのような問題に対処するための改善されたインフラストラクチャ調整中。

Prisma のレポートに応じて、Microsoft は、より堅牢なシークレット編集を実装するために、Azure Pipelines、GitHub Actions、Azure CLI などのさまざまな製品にわたっていくつかの変更を加えました。この発見は、顧客が機密情報をリポジトリや CI/CD パイプラインに記録しないようにする必要性が高まっていることを浮き彫りにしました。セキュリティリスクを最小限に抑えることは共同責任です。 Microsoft は、シークレットの出力を防止するために Azure CLI の更新プログラムを発行しました。顧客は、ワークロードを保護するための措置を積極的に講じることが期待されています。
マイクロソフト

instagram story viewer

CVE-2023-36052 の脆弱性により機密情報が失われるリスクを回避するにはどうすればよいでしょうか?

レドモンドに拠点を置くテクノロジー大手は、ユーザーはできるだけ早く Azure CLI を最新バージョン (2.54) に更新する必要があると述べています。 Microsoft は更新後、ユーザーに次のガイドラインに従うことも求めています。

最新のセキュリティ更新プログラムを受信するには、常に Azure CLI を最新リリースに更新してください。
Azure CLI の出力をログや公的にアクセスできる場所に公開しないでください。 出力値を必要とするスクリプトを開発する場合は、スクリプトに必要なプロパティを必ず除外してください。ご確認ください出力形式に関する Azure CLI の情報そして私たちが推奨するものを実装してください環境変数をマスクするためのガイダンス。
キーとシークレットを定期的にローテーションします。 一般的なベストプラクティスとして、お客様は、環境に最適な頻度でキーとシークレットを定期的にローテーションすることをお勧めします。 Azure のキーとシークレットの考慮事項に関する記事を参照してください。ここ.
Azure サービスのシークレット管理に関するガイダンスを確認する.
GitHub Actions でのセキュリティ強化のための GitHub のベストプラクティスを確認する.
パブリックにする必要がない限り、GitHub リポジトリがプライベートに設定されていることを確認します。.
Azure Pipelines を保護するためのガイダンスを確認する.

Microsoft は、Azure CLI で CVE-2023-36052 脆弱性が発見されたことを受けて、いくつかの変更を加える予定です。同社によると、これらの変更の 1 つは、機密性の高い情報を禁止する新しいデフォルト設定の実装です。 Azure からのサービスのコマンドの出力に表示されることからシークレットとしてラベル付けされた情報家族。 CVE-2023-36052