Azure CLI არის Microsoft-ის უახლესი პროდუქტი, რომელიც სერიოზული რისკის ქვეშ იმყოფება ახალი დაუცველობის გამო

CVE-2023-36052 შეუძლია კონფიდენციალური ინფორმაციის გამჟღავნება საჯარო ჟურნალებში.

გავრცელებული ინფორმაციით, Azure CLI (Azure Command-Line Interface) იყო მგრძნობიარე ინფორმაციის გამჟღავნების დიდი რისკის ქვეშ, სერთიფიკატების ჩათვლით, როდესაც ვინმე ურთიერთქმედებს GitHub Actions-ის ჟურნალებთან პლატფორმაზე, მიხედვით უახლესი ბლოგის პოსტი Microsoft-ის უსაფრთხოების რეაგირების ცენტრიდან.

MSRC-მა იცოდა დაუცველობის შესახებ, რომელსაც ახლა CVE-2023-36052 ეწოდება, მკვლევარმა, რომელმაც გაარკვია, რომ Azure-ის შესწორება CLI ბრძანებებმა შეიძლება გამოიწვიოს მგრძნობიარე მონაცემების ჩვენება და გამომავალი უწყვეტი ინტეგრაცია და უწყვეტი განლაგება (CI/CD) მორები.

ეს არ არის პირველი შემთხვევა, როდესაც მკვლევარებმა დაადგინეს, რომ Microsoft-ის პროდუქტები დაუცველია. ამ წლის დასაწყისში, მკვლევართა ჯგუფმა მაიკროსოფტს აცნობა, რომ Teams არის ძალიან მიდრეკილია თანამედროვე მავნე პროგრამების მიმართფიშინგის შეტევების ჩათვლით. Microsoft-ის პროდუქტები იმდენად დაუცველია რომ Microsoft 365 ანგარიშების 80% 2022 წელს გატეხეს, მარტო.

CVE-2023-36052 დაუცველობის საფრთხე ისეთი რისკი იყო, რომ მაიკროსოფტმა დაუყოვნებლივ მიიღო ზომები ყველა პლატფორმაზე და Azure-ის პროდუქტები, მათ შორის Azure Pipelines, GitHub Actions და Azure CLI, და გაუმჯობესებული ინფრასტრუქტურა, რომ უკეთ გაუძლოს ასეთ შესწორება.

Prisma-ს მოხსენების საპასუხოდ, Microsoft-მა განახორციელა რამდენიმე ცვლილება სხვადასხვა პროდუქტებში, მათ შორის Azure Pipelines, GitHub Actions და Azure CLI, უფრო ძლიერი საიდუმლო რედაქციის განსახორციელებლად. ეს აღმოჩენა ხაზს უსვამს მზარდ აუცილებლობას, რათა უზრუნველყონ მომხმარებლები, რომ არ შეიტანონ სენსიტიური ინფორმაცია თავიანთ რეპოში და CI/CD მილსადენებში. უსაფრთხოების რისკის მინიმიზაცია არის საერთო პასუხისმგებლობა; მაიკროსოფტმა გამოსცა განახლება Azure CLI-ში, რათა თავიდან აიცილოს საიდუმლოებების გამოქვეყნება და კლიენტები, სავარაუდოდ, პროაქტიულები იქნებიან ნაბიჯების გადადგმაში თავიანთი სამუშაო დატვირთვის უზრუნველსაყოფად.

მაიკროსოფტი

რა შეგიძლიათ გააკეთოთ იმისათვის, რომ თავიდან აიცილოთ სენსიტიური ინფორმაციის დაკარგვის რისკი CVE-2023-36052 დაუცველობისთვის?

რედმონდზე დაფუძნებული ტექნიკური გიგანტი ამბობს, რომ მომხმარებლებმა უნდა განაახლონ Azure CLI უახლესი ვერსიით (2.54) რაც შეიძლება მალე. განახლების შემდეგ, Microsoft-ს ასევე სურს, რომ მომხმარებლებს დაიცვან ეს სახელმძღვანელო:

1. ყოველთვის განაახლეთ Azure CLI უახლესი გამოშვებით, რომ მიიღოთ უსაფრთხოების უახლესი განახლებები.
2. მოერიდეთ Azure CLI-ის გამოტანის გამოვლენას ჟურნალებში და/ან საჯაროდ ხელმისაწვდომ ადგილებში. თუ ავითარებთ სკრიპტს, რომელიც მოითხოვს გამომავალ მნიშვნელობას, დარწმუნდით, რომ გაფილტრეთ სკრიპტისთვის საჭირო თვისება. გთხოვთ გადახედოთ Azure CLI ინფორმაცია გამომავალი ფორმატებთან დაკავშირებით და განახორციელეთ ჩვენი რეკომენდაცია სახელმძღვანელო გარემოს ცვლადის დაფარვისთვის.
3. რეგულარულად ატრიალეთ გასაღებები და საიდუმლოებები. როგორც ზოგადი საუკეთესო პრაქტიკა, კლიენტებს ურჩევენ რეგულარულად შეცვალონ გასაღებები და საიდუმლოებები იმ კადენციით, რომელიც საუკეთესოდ მუშაობს მათი გარემოსთვის. იხილეთ ჩვენი სტატია საკვანძო და საიდუმლო მოსაზრებების შესახებ Azure-ში აქ.
4. გადახედეთ მითითებებს საიდუმლოების მართვის შესახებ Azure სერვისებისთვის.
5. გადახედეთ GitHub-ის საუკეთესო პრაქტიკებს უსაფრთხოების გაძლიერებისთვის GitHub Actions-ში.
6. დარწმუნდით, რომ GitHub საცავი დაყენებულია კერძო, თუ სხვაგვარად არ არის საჭირო საჯარო.
7. გადახედეთ ინსტრუქციას Azure Pipelines-ის დასაცავად.

Microsoft განახორციელებს გარკვეულ ცვლილებებს Azure CLI-ზე CVE-2023-36052 დაუცველობის აღმოჩენის შემდეგ. ერთ-ერთი ასეთი ცვლილება, ამბობს კომპანია, არის ახალი ნაგულისხმევი პარამეტრის დანერგვა, რომელიც ხელს უშლის მგრძნობიარე ინფორმაცია, რომელიც შეაფასა, როგორც საიდუმლო, არ არის წარმოდგენილი Azure-ის სერვისების ბრძანებების გამოსავალში ოჯახი.

თუმცა, მომხმარებლებს დასჭირდებათ Azure CLI-ის 2.53.1 და უფრო მაღალი ვერსიის განახლება, რადგან ახალი ნაგულისხმევი პარამეტრი არ განხორციელდება ძველ ვერსიებზე.

რედმონდზე დაფუძნებული ტექნიკური გიგანტი ასევე აფართოებს რედაქციის შესაძლებლობებს როგორც GitHub Actions-ში, ასევე Azure Pipelines უკეთ იდენტიფიცირება და დაჭერა Microsoft-ის მიერ გამოცემული ნებისმიერი გასაღებისთვის, რომელიც შეიძლება გამოაშკარავდეს საჯაროდ მორები.

თუ იყენებთ Azure CLI-ს, დარწმუნდით, რომ განაახლეთ პლატფორმა უახლეს ვერსიაზე ახლავე, რათა დაიცვათ თქვენი მოწყობილობა და თქვენი ორგანიზაცია CVE-2023-36052 დაუცველობისგან.