CVE-2023-36052 gali atskleisti konfidencialią informaciją viešuosiuose žurnaluose.
Pranešama, kad Azure CLI (Azure Command-Line Interface) iškilo didelis pavojus atskleisti neskelbtiną informaciją, įskaitant kredencialus, kai kas nors sąveikauja su platformoje esančiais „GitHub Actions“ žurnalais, pagal naujausias tinklaraščio įrašas iš „Microsoft“ saugos reagavimo centro.
MSRC apie pažeidžiamumą, dabar vadinamą CVE-2023-36052, sužinojo tyrėjas, kuris išsiaiškino, kad koreguojant Azure CLI komandos gali parodyti neskelbtinus duomenis ir išvestis į nuolatinį integravimą ir nuolatinį diegimą (CI / CD) rąstų.
Tai ne pirmas kartas, kai mokslininkai išsiaiškino, kad „Microsoft“ produktai yra pažeidžiami. Šių metų pradžioje tyrėjų komanda „Microsoft“ informavo, kad „Teams“ yra labai linkę į šiuolaikines kenkėjiškas programas, įskaitant sukčiavimo atakas. „Microsoft“ produktai yra tokie pažeidžiami kad 80 % „Microsoft 365“ paskyrų buvo įsilaužta 2022 m, vienas.
Pažeidžiamumo CVE-2023-36052 grėsmė buvo tokia didelė, kad „Microsoft“ nedelsdama ėmėsi veiksmų visose platformose ir „Azure“ produktai, įskaitant „Azure Pipelines“, „GitHub Actions“ ir „Azure CLI“, ir patobulinta infrastruktūra, kad būtų geriau atsispirta koregavimas.
Reaguodama į „Prisma“ ataskaitą, „Microsoft“ atliko keletą pakeitimų skirtinguose produktuose, įskaitant „Azure Pipelines“, „GitHub Actions“ ir „Azure CLI“, kad įdiegtų patikimesnį slaptą redagavimą. Šis atradimas pabrėžia didėjantį poreikį padėti užtikrinti, kad klientai neregistruotų slaptos informacijos į savo atpirkimo sandorius ir CI / CD vamzdynus. Saugumo rizikos mažinimas yra bendra atsakomybė; „Microsoft“ išleido „Azure“ CLI naujinimą, kad padėtų išvengti paslapčių išvedimo, o klientai turėtų aktyviai imtis veiksmų, kad apsaugotų savo darbo krūvius.
Microsoft
Ką daryti, kad išvengtumėte pavojaus prarasti neskelbtiną informaciją dėl CVE-2023-36052 pažeidžiamumo?
Redmonde įsikūrusi technologijų milžinė teigia, kad vartotojai turėtų kuo greičiau atnaujinti Azure CLI į naujausią versiją (2.54). Po atnaujinimo „Microsoft“ taip pat nori, kad vartotojai laikytųsi šios gairės:
- Visada atnaujinkite Azure CLI į naujausią leidimą, kad gautumėte naujausius saugos naujinimus.
- Neatskleiskite Azure CLI išvesties žurnaluose ir (arba) viešai pasiekiamose vietose. Jei kuriate scenarijų, kuriam reikalinga išvesties vertė, įsitikinkite, kad išfiltravote scenarijui reikalingą ypatybę. Prašau Peržiūrėk Azure CLI informacija apie išvesties formatus ir įgyvendinti mūsų rekomenduojamą aplinkos kintamojo maskavimo gairės.
- Reguliariai pasukite raktus ir paslaptis. Paprastai klientai raginami reguliariai keisti raktus ir paslaptis tokiu ritmu, kuris geriausiai tinka jų aplinkai. Peržiūrėkite mūsų straipsnį apie pagrindinius ir slaptus „Azure“ aspektus čia.
- Peržiūrėkite „Azure“ paslaugų paslapčių valdymo gaires.
- Peržiūrėkite geriausios „GitHub“ saugos stiprinimo „GitHub Actions“ praktikos pavyzdžius.
- Įsitikinkite, kad „GitHub“ saugyklos yra privačios, nebent reikia kitaip, kad jos būtų viešos.
- Peržiūrėkite „Azure Pipelines“ apsaugos gaires.
„Microsoft“ atliks kai kuriuos pakeitimus, kai „Azure“ CLI aptiks CVE-2023-36052 pažeidžiamumą. Vienas iš šių pakeitimų, teigia bendrovė, yra naujo numatytojo nustatymo, kuris apsaugo nuo jautrumo, įgyvendinimas informacija, pažymėta kaip slapta, nebus pateikta paslaugų komandų išvestyje iš Azure šeima.
Tačiau vartotojai turės atnaujinti į 2.53.1 ir naujesnę Azure CLI versiją, nes naujas numatytasis nustatymas nebus įdiegtas senesnėse versijose.
Redmonde įsikūrusi technologijų milžinė taip pat plečia redagavimo galimybes tiek GitHub Actions, tiek „Azure Pipelines“, kad būtų galima geriau identifikuoti ir užfiksuoti visus „Microsoft“ išduotus raktus, kurie gali būti rodomi viešai rąstų.
Jei naudojate Azure CLI, būtinai dabar atnaujinkite platformą į naujausią versiją, kad apsaugotumėte įrenginį ir organizaciją nuo CVE-2023-36052 pažeidžiamumo.
