Azure CLI er det siste Microsoft-produktet som er alvorlig utsatt på grunn av en ny sårbarhet

CVE-2023-36052 kan avsløre konfidensiell informasjon i offentlige logger.

Azure CLI (Azure Command-Line Interface) var angivelig utsatt for stor risiko for å avsløre sensitiv informasjon, inkludert legitimasjon, når noen ville samhandle med GitHub Actions-loggene på plattformen, i følge siste blogginnlegg fra Microsoft Security Response Center.

MSRC ble gjort oppmerksom på sårbarheten, nå kalt CVE-2023-36052, av en forsker som fant ut at tilpasningen av Azure CLI-kommandoer kan føre til visning av sensitive data og utdata til kontinuerlig integrasjon og kontinuerlig distribusjon (CI/CD) tømmerstokker.

Dette er ikke første gang forskere finner ut at Microsoft-produkter er sårbare. Tidligere i år gjorde et team av forskere Microsoft oppmerksom på at Teams er det svært utsatt for moderne skadelig programvare, inkludert phishing-angrep. Microsoft-produkter er så sårbare at 80 % av Microsoft 365-kontoene ble hacket i 2022, alene.

Trusselen fra CVE-2023-36052-sårbarheten var en slik risiko at Microsoft umiddelbart iverksatte tiltak på tvers av alle plattformer og Azure-produkter, inkludert Azure Pipelines, GitHub Actions og Azure CLI, og forbedret infrastruktur for å bedre motstå slike justering.

Som svar på Prismas rapport har Microsoft gjort flere endringer på tvers av forskjellige produkter, inkludert Azure Pipelines, GitHub Actions og Azure CLI, for å implementere mer robust hemmelig redaksjon. Denne oppdagelsen fremhever det økende behovet for å bidra til å sikre at kunder ikke logger sensitiv informasjon inn i repo- og CI/CD-pipelines. Minimering av sikkerhetsrisiko er et delt ansvar; Microsoft har utstedt en oppdatering til Azure CLI for å forhindre at hemmeligheter sendes ut, og kunder forventes å være proaktive i å ta skritt for å sikre arbeidsbelastningen deres.

Microsoft

Hva kan du gjøre for å unngå risikoen for å miste sensitiv informasjon til CVE-2023-36052-sårbarheten?

Den Redmond-baserte teknologigiganten sier at brukere bør oppdatere Azure CLI til den nyeste versjonen (2.54) så snart som mulig. Etter oppdatering vil Microsoft også at brukerne skal følge denne retningslinjen:

1. Oppdater alltid Azure CLI til den nyeste utgivelsen for å motta de nyeste sikkerhetsoppdateringene.
2. Unngå å eksponere Azure CLI-utdata i logger og/eller offentlig tilgjengelige steder. Hvis du utvikler et skript som krever utdataverdien, sørg for at du filtrerer ut egenskapen som trengs for skriptet. Vennligst se over Azure CLI-informasjon angående utdataformater og implementere våre anbefalte veiledning for maskering av en miljøvariabel.
3. Roter nøkler og hemmeligheter regelmessig. Som en generell beste praksis oppfordres kunder til regelmessig å rotere nøkler og hemmeligheter på en takt som fungerer best for deres miljø. Se vår artikkel om viktige og hemmelige hensyn i Azure her.
4. Se gjennom veiledningen rundt hemmelighetsbehandling for Azure-tjenester.
5. Gjennomgå GitHubs beste fremgangsmåter for sikkerhetsherding i GitHub Actions.
6. Sørg for at GitHub-repositoriene er satt til private med mindre annet er nødvendig for å være offentlige.
7. Se gjennom veiledningen for å sikre Azure Pipelines.

Microsoft vil gjøre noen endringer etter oppdagelsen av CVE-2023-36052-sårbarheten på Azure CLI. En av disse endringene, sier selskapet, er implementeringen av en ny standardinnstilling som forhindrer sensitive informasjon merket som hemmelig fra å bli presentert i utdataene for kommandoer for tjenester fra Azure familie.

Brukere må imidlertid oppdatere til 2.53.1 og nyere versjon av Azure CLI, siden den nye standardinnstillingen ikke vil bli implementert på eldre versjoner.

Den Redmond-baserte teknologigiganten utvider også redaksjonsmulighetene i både GitHub Actions og Azure Pipelines for å bedre identifisere og fange opp eventuelle Microsoft-utstedte nøkler som kan vises offentlig tømmerstokker.

Hvis du bruker Azure CLI, sørg for å oppdatere plattformen til den nyeste versjonen akkurat nå for å beskytte enheten din og organisasjonen din mot CVE-2023-36052-sårbarheten.