Azure CLI は、新たな脆弱性により深刻な危険にさらされている最新の Microsoft 製品です

CVE-2023-36052 では、公開ログ内の機密情報が公開される可能性があります。

CVE-2023-36052

Azure CLI (Azure Command-Line Interface) は機密情報が漏洩する大きなリスクにさらされていると報告されています。 認証情報を含む、誰かがプラットフォーム上の GitHub Actions ログを操作するたびに、 によると 最新のブログ投稿 Microsoft セキュリティ レスポンス センターから。

MSRC は、Azure を微調整することを発見した研究者によって、現在 CVE-2023-36052 と呼ばれているこの脆弱性を認識しました。 CLI コマンドにより、機密データが表示され、継続的インテグレーションおよび継続的デプロイメント (CI/CD) への出力が表示される可能性があります。 ログ。

研究者が Microsoft 製品に脆弱性があることを発見したのはこれが初めてではありません。 今年の初めに、研究者のチームが Microsoft に、Teams が 最新のマルウェアに非常に感染しやすいフィッシング攻撃を含む。 Microsoft製品は非常に脆弱です 2022 年に Microsoft 365 アカウントの 80% がハッキングされた、 一人で。

CVE-2023-36052 脆弱性の脅威は非常に危険であったため、Microsoft はすべてのプラットフォームに対して直ちに措置を講じました。 Azure Pipelines、GitHub Actions、Azure CLI などの Azure 製品と、そのような問題に対処するための改善されたインフラストラクチャ 調整中。

Prisma のレポートに応じて、Microsoft は、より堅牢なシークレット編集を実装するために、Azure Pipelines、GitHub Actions、Azure CLI などのさまざまな製品にわたっていくつかの変更を加えました。 この発見は、顧客が機密情報をリポジトリや CI/CD パイプラインに記録しないようにする必要性が高まっていることを浮き彫りにしました。 セキュリティ リスクを最小限に抑えることは共同責任です。 Microsoft は、シークレットの出力を防止するために Azure CLI の更新プログラムを発行しました。顧客は、ワークロードを保護するための措置を積極的に講じることが期待されています。

マイクロソフト

CVE-2023-36052 の脆弱性により機密情報が失われるリスクを回避するにはどうすればよいでしょうか?

レドモンドに拠点を置くテクノロジー大手は、ユーザーはできるだけ早く Azure CLI を最新バージョン (2.54) に更新する必要があると述べています。 Microsoft は更新後、ユーザーに次のガイドラインに従うことも求めています。

  1. 最新のセキュリティ更新プログラムを受信するには、常に Azure CLI を最新リリースに更新してください。
  2. Azure CLI の出力をログや公的にアクセスできる場所に公開しないでください。 出力値を必要とするスクリプトを開発する場合は、スクリプトに必要なプロパティを必ず除外してください。 ご確認ください 出力形式に関する Azure CLI の情報 そして私たちが推奨するものを実装してください 環境変数をマスクするためのガイダンス。
  3. キーとシークレットを定期的にローテーションします。 一般的なベスト プラクティスとして、お客様は、環境に最適な頻度でキーとシークレットを定期的にローテーションすることをお勧めします。 Azure のキーとシークレットの考慮事項に関する記事を参照してください。 ここ.
  4. Azure サービスのシークレット管理に関するガイダンスを確認する.
  5. GitHub Actions でのセキュリティ強化のための GitHub のベスト プラクティスを確認する.
  6. パブリックにする必要がない限り、GitHub リポジトリがプライベートに設定されていることを確認します。.
  7. Azure Pipelines を保護するためのガイダンスを確認する.

Microsoft は、Azure CLI で CVE-2023-36052 脆弱性が発見されたことを受けて、いくつかの変更を加える予定です。 同社によると、これらの変更の 1 つは、機密性の高い情報を禁止する新しいデフォルト設定の実装です。 Azure からのサービスのコマンドの出力に表示されることからシークレットとしてラベル付けされた情報 家族。CVE-2023-36052

ただし、新しい既定の設定は古いバージョンには実装されないため、ユーザーは Azure CLI の 2.53.1 以降のバージョンに更新する必要があります。

レドモンドに本拠を置くテクノロジー大手は、GitHub Actions と Azure Pipelines により、公に公開される可能性のある Microsoft 発行のキーをより適切に識別して捕捉することができます。 ログ。

Azure CLI を使用している場合は、デバイスと組織を CVE-2023-36052 脆弱性から保護するために、今すぐプラットフォームを最新バージョンに更新してください。

Windows 10 SCUは、専用のランサムウェア対策モジュールを備えています

Windows 10 SCUは、専用のランサムウェア対策モジュールを備えていますランサムウェアサイバーセキュリティ

ランサムウェア— 2017年の主なサイバー脅威を説明するときに最も頻繁に使用された言葉でした。 WannacryとPetya 数十万台以上のコンピューターを使用し、見つかったすべてのファイルとフォルダーを完全に暗号化しました。 テクノロジーの世界はすぐに反応し、 セキュリティアップデート できるだけ早く展開されました。ランサムウェア攻撃により、多くのユーザーが Windows10にアップグレ...

続きを読む
ペアレンタルコントロールを備えた5つ以上の最高のウイルス対策ソフトウェア[2021ガイド]

ペアレンタルコントロールを備えた5つ以上の最高のウイルス対策ソフトウェア[2021ガイド]アンチウイルスサイバーセキュリティ教育用ソフトウェア

年間2億人のユーザーを支援する時間節約のソフトウェアとハ​​ードウェアの専門知識。 技術的な生活を向上させるためのハウツーアドバイス、ニュース、ヒントをご案内します。ESET Internet Securityは、マルウェア、アドウェア、スパイウェア、およびインターネットを悩ますその他の種類のデータ盗難などの高度な脅威からユーザーを保護します。このプログラムはクロスプラットフォームであり、M...

続きを読む
何だって? AMDには15のセキュリティ脆弱性がありますが、Intelには233の脆弱性がありますか?

何だって? AMDには15のセキュリティ脆弱性がありますが、Intelには233の脆弱性がありますか?インテルAmdサイバーセキュリティ

最近、セキュリティ研究者がAMDとの脆弱性リストを比較しました Intelハードウェア. 研究者は作成しました Redditスレッド 調査結果を議論する。投稿は、AMDが報告した驚くべき事実を強調しています のみ15 これまでのセキュリティの脆弱性。 ただし、Intelのリストには合計233の脆弱性が見られます。これらの会社は両方とも現在市場をリードしているので、調査結果は非常に奇妙です。 ...

続きを読む