CVE-2023-36052 var atklāt konfidenciālu informāciju publiskajos žurnālos.
Tiek ziņots, ka Azure CLI (Azure Command-Line Interface) bija liels risks atklāt sensitīvu informāciju, tostarp akreditācijas datus, kad kāds mijiedarbojas ar GitHub darbību žurnāliem platformā, saskaņā ar jaunākais emuāra ieraksts no Microsoft drošības reaģēšanas centra.
MSRC par ievainojamību, ko tagad sauc par CVE-2023-36052, informēja pētnieks, kurš atklāja, ka Azure CLI komandas var novest pie sensitīvu datu parādīšanas un izvades uz nepārtrauktu integrāciju un nepārtrauktu izvietošanu (CI/CD). baļķi.
Šī nav pirmā reize, kad pētnieki atklāj, ka Microsoft produkti ir neaizsargāti. Šī gada sākumā pētnieku komanda lika Microsoft saprast, ka Teams ir ļoti pakļauti mūsdienu ļaunprātīgai programmatūrai, tostarp pikšķerēšanas uzbrukumiem. Microsoft produkti ir tik neaizsargāti ka 80% Microsoft 365 kontu tika uzlauzti 2022. gadā, vienatnē.
CVE-2023-36052 ievainojamības draudi radīja tādu risku, ka Microsoft nekavējoties veica darbības visās platformās un Azure produkti, tostarp Azure Pipelines, GitHub Actions un Azure CLI, un uzlabota infrastruktūra, lai labāk pretotos šādiem pielāgošana.
Atbildot uz Prisma ziņojumu, Microsoft ir veikusi vairākas izmaiņas dažādos produktos, tostarp Azure Pipelines, GitHub Actions un Azure CLI, lai ieviestu stingrāku slepeno rediģēšanu. Šis atklājums uzsver pieaugošo nepieciešamību palīdzēt nodrošināt, ka klienti nereģistrē sensitīvu informāciju savos repo un CI/CD cauruļvados. Drošības riska samazināšana ir kopīga atbildība; Korporācija Microsoft ir izdevusi Azure CLI atjauninājumu, lai palīdzētu novērst noslēpumu izvadīšanu, un tiek sagaidīts, ka klienti būs aktīvi, veicot darbības, lai nodrošinātu savu darba slodzi.
Microsoft
Ko darīt, lai izvairītos no riska pazaudēt sensitīvu informāciju ievainojamības CVE-2023-36052 dēļ?
Redmondā bāzētais tehnoloģiju gigants saka, ka lietotājiem pēc iespējas ātrāk jāatjaunina Azure CLI uz jaunāko versiju (2.54). Pēc atjaunināšanas Microsoft arī vēlas, lai lietotāji ievērotu šīs vadlīnijas:
- Vienmēr atjauniniet Azure CLI uz jaunāko laidienu, lai saņemtu jaunākos drošības atjauninājumus.
- Izvairieties no Azure CLI izvades atklāšanas žurnālos un/vai publiski pieejamās vietās. Ja izstrādājat skriptu, kuram nepieciešama izvades vērtība, noteikti izfiltrējiet skriptam nepieciešamo rekvizītu. Lūdzu pārskatiet Azure CLI informācija par izvades formātiem un īstenot mūsu ieteikto norādījumi vides mainīgā maskēšanai.
- Regulāri pagrieziet atslēgas un noslēpumus. Parasti klienti tiek mudināti regulāri pagriezt atslēgas un noslēpumus tādā ritmā, kas vislabāk atbilst viņu videi. Skatiet mūsu rakstu par galvenajiem un slepenajiem apsvērumiem pakalpojumā Azure šeit.
- Pārskatiet norādījumus par Azure pakalpojumu noslēpumu pārvaldību.
- Pārskatiet GitHub paraugpraksi drošības stiprināšanai programmā GitHub Actions.
- Pārliecinieties, vai GitHub repozitoriji ir iestatīti kā privāti, ja vien nav nepieciešams citādi, lai tie būtu publiski.
- Pārskatiet norādījumus par Azure cauruļvadu drošību.
Pēc CVE-2023-36052 ievainojamības atklāšanas Azure CLI, Microsoft veiks dažas izmaiņas. Viena no šīm izmaiņām, norāda uzņēmums, ir jauna noklusējuma iestatījuma ieviešana, kas novērš jutīgu informācija, kas marķēta kā slepena, lai tiktu parādīta pakalpojumu komandu izvadē no Azure ģimene.
Tomēr lietotājiem būs jāatjaunina uz Azure CLI versiju 2.53.1 un jaunāku versiju, jo vecākās versijās jaunais noklusējuma iestatījums netiks ieviests.
Redmondā bāzētais tehnoloģiju gigants arī paplašina rediģēšanas iespējas gan GitHub Actions, gan Azure Pipelines, lai labāk identificētu un noķertu visas Microsoft izdotās atslēgas, kuras var atklāt publiski baļķi.
Ja izmantojat Azure CLI, nekavējoties atjauniniet platformu uz jaunāko versiju, lai aizsargātu savu ierīci un organizāciju pret CVE-2023-36052 ievainojamību.
