CVE-2023-36052는 공개 로그에 기밀 정보를 노출할 수 있습니다.
Azure CLI(Azure Command-Line Interface)는 민감한 정보를 노출할 위험이 큰 것으로 알려졌습니다. 자격 증명을 포함하여 누군가 플랫폼의 GitHub Actions 로그와 상호 작용할 때마다 ~에 따르면 최신 블로그 게시물 Microsoft 보안 대응 센터에서.
MSRC는 Azure를 조정하는 것을 발견한 연구원에 의해 현재 CVE-2023-36052라고 불리는 취약점을 알게 되었습니다. CLI 명령으로 CI/CD(지속적 통합 및 지속적 배포)에 민감한 데이터 및 출력이 표시될 수 있음 로그.
연구원들이 Microsoft 제품이 취약하다는 사실을 발견한 것은 이번이 처음이 아닙니다. 올해 초 연구원 팀은 Microsoft에 Teams가 있다는 사실을 알렸습니다. 최신 악성 코드에 취약함, 피싱 공격 포함. Microsoft 제품은 매우 취약합니다. 2022년에는 Microsoft 365 계정의 80%가 해킹당했습니다., 홀로.
CVE-2023-36052 취약점의 위협은 너무나 위험했기 때문에 Microsoft는 즉시 모든 플랫폼에 걸쳐 조치를 취했습니다. Azure Pipelines, GitHub Actions, Azure CLI를 포함한 Azure 제품과 이러한 문제에 더 잘 저항할 수 있는 향상된 인프라 조정.
Prisma의 보고서에 대응하여 Microsoft는 보다 강력한 비밀 수정을 구현하기 위해 Azure Pipelines, GitHub Actions 및 Azure CLI를 포함한 다양한 제품 전반에 걸쳐 몇 가지 변경 사항을 적용했습니다. 이번 발견은 고객이 리포지토리 및 CI/CD 파이프라인에 민감한 정보를 기록하지 않도록 해야 할 필요성이 증가하고 있음을 강조합니다. 보안 위험을 최소화하는 것은 공동 책임입니다. Microsoft는 비밀이 출력되는 것을 방지하기 위해 Azure CLI에 대한 업데이트를 발표했으며 고객은 워크로드를 보호하기 위한 조치를 적극적으로 취해야 합니다.
마이크로소프트
CVE-2023-36052 취약점으로 인해 중요한 정보가 손실되는 위험을 방지하려면 어떻게 해야 합니까?
레드몬드에 본사를 둔 거대 기술 기업은 사용자가 가능한 한 빨리 Azure CLI를 최신 버전(2.54)으로 업데이트해야 한다고 말합니다. 업데이트 후 Microsoft는 사용자가 다음 지침을 따르기를 원합니다.
- 최신 보안 업데이트를 받으려면 항상 Azure CLI를 최신 릴리스로 업데이트하세요.
- Azure CLI 출력을 로그 및/또는 공개적으로 액세스할 수 있는 위치에 노출하지 마세요. 출력 값이 필요한 스크립트를 개발하는 경우 스크립트에 필요한 속성을 필터링해야 합니다. 검토하시기 바랍니다 출력 형식에 관한 Azure CLI 정보 권장사항을 구현하세요. 환경 변수를 마스킹하기 위한 지침입니다.
- 키와 보안 비밀을 정기적으로 교체하세요. 일반적인 모범 사례에 따라 고객은 자신의 환경에 가장 적합한 흐름에 따라 키와 비밀을 정기적으로 교체하는 것이 좋습니다. Azure의 키 및 비밀 고려 사항에 대한 문서를 참조하세요. 여기.
- Azure 서비스의 비밀 관리에 대한 지침을 검토하세요..
- GitHub Actions의 보안 강화를 위한 GitHub 모범 사례를 검토하세요..
- GitHub 저장소가 공개로 설정될 필요가 없는 한 비공개로 설정되어 있는지 확인하세요..
- Azure Pipelines 보안에 대한 지침을 검토하세요..
Microsoft는 Azure CLI에서 CVE-2023-36052 취약점이 발견된 후 몇 가지 사항을 변경할 예정입니다. 회사에 따르면 이러한 변경 사항 중 하나는 민감한 정보를 방지하는 새로운 기본 설정을 구현하는 것입니다. Azure의 서비스에 대한 명령 출력에 비밀로 레이블이 지정된 정보가 표시되지 않습니다. 가족.
그러나 이전 버전에서는 새로운 기본 설정이 구현되지 않으므로 사용자는 Azure CLI 2.53.1 이상 버전으로 업데이트해야 합니다.
레드먼드에 본사를 둔 거대 기술 기업은 GitHub Actions와 공개적으로 노출될 수 있는 Microsoft 발급 키를 더 잘 식별하고 포착하는 Azure Pipelines 로그.
Azure CLI를 사용하는 경우 CVE-2023-36052 취약점으로부터 장치와 조직을 보호하려면 지금 바로 플랫폼을 최신 버전으로 업데이트하세요.