Azure CLI to najnowszy produkt firmy Microsoft, który jest poważnie zagrożony ze względu na nową lukę w zabezpieczeniach

CVE-2023-36052 może ujawnić poufne informacje w dziennikach publicznych.

Według doniesień interfejs wiersza poleceń platformy Azure (interfejs wiersza poleceń platformy Azure) był narażony na duże ryzyko ujawnienia poufnych informacji, w tym dane uwierzytelniające, ilekroć ktoś będzie wchodzić w interakcję z dziennikami GitHub Actions na platformie, według najnowszy wpis na blogu z Centrum reagowania na zabezpieczenia firmy Microsoft.

MSRC zostało poinformowane o luce, obecnie nazywanej CVE-2023-36052, przez badacza, który odkrył, że ulepszanie platformy Azure Polecenia CLI mogą prowadzić do pokazywania poufnych danych i wyników w ramach ciągłej integracji i ciągłego wdrażania (CI/CD) dzienniki.

To nie pierwszy raz, kiedy badacze odkryli, że produkty Microsoftu są podatne na ataki. Na początku tego roku zespół badaczy uświadomił firmie Microsoft, że Teams jest bardzo podatny na nowoczesne złośliwe oprogramowanie, w tym ataki phishingowe. Produkty Microsoftu są bardzo podatne na ataki że w 2022 r. zhakowano 80% kont Microsoft 365, sam.

Zagrożenie luką CVE-2023-36052 było tak duże, że Microsoft natychmiast podjął działania na wszystkich platformach i Produkty platformy Azure, w tym Azure Pipelines, GitHub Actions i interfejs wiersza polecenia platformy Azure, a także ulepszona infrastruktura zapewniająca lepszą odporność na takie zagrożenia poprawianie.

W odpowiedzi na raport Prismy firma Microsoft wprowadziła kilka zmian w różnych produktach, w tym w Azure Pipelines, GitHub Actions i Azure CLI, aby wdrożyć bardziej niezawodne redagowanie tajnych informacji. To odkrycie podkreśla rosnącą potrzebę zapewnienia, że ​​klienci nie będą rejestrować poufnych informacji w swoich repo i potokach CI/CD. Minimalizowanie ryzyka bezpieczeństwa jest wspólną odpowiedzialnością; Firma Microsoft wydała aktualizację interfejsu wiersza polecenia platformy Azure, aby zapobiec generowaniu wpisów tajnych. Oczekuje się, że klienci będą aktywnie podejmować kroki w celu zabezpieczenia swoich obciążeń.

Microsoftu

Co możesz zrobić, aby uniknąć ryzyka utraty wrażliwych informacji w wyniku luki CVE-2023-36052?

Gigant technologiczny z Redmond twierdzi, że użytkownicy powinni jak najszybciej zaktualizować interfejs Azure CLI do najnowszej wersji (2.54). Po aktualizacji Microsoft chce również, aby użytkownicy postępowali zgodnie z poniższymi wytycznymi:

1. Zawsze aktualizuj interfejs wiersza polecenia platformy Azure do najnowszej wersji, aby otrzymywać najnowsze aktualizacje zabezpieczeń.
2. Unikaj ujawniania danych wyjściowych interfejsu wiersza polecenia platformy Azure w dziennikach i/lub publicznie dostępnych lokalizacjach. Jeśli tworzysz skrypt wymagający wartości wyjściowej, pamiętaj o odfiltrowaniu właściwości potrzebnych dla skryptu. Zapoznaj się Informacje o interfejsie wiersza polecenia platformy Azure dotyczące formatów wyjściowych i wdrażaj nasze zalecane wskazówki dotyczące maskowania zmiennej środowiskowej.
3. Regularnie zmieniaj klucze i sekrety. Zgodnie z ogólną najlepszą praktyką zachęca się klientów do regularnej rotacji kluczy i wpisów tajnych w rytmie, który najlepiej sprawdza się w ich środowisku. Zobacz nasz artykuł na temat kluczowych i tajnych zagadnień dotyczących platformy Azure Tutaj.
4. Przejrzyj wskazówki dotyczące zarządzania wpisami tajnymi dla usług platformy Azure.
5. Przejrzyj najlepsze praktyki GitHub dotyczące zwiększania bezpieczeństwa w GitHub Actions.
6. Upewnij się, że repozytoria GitHub są ustawione jako prywatne, chyba że w przeciwnym razie konieczne jest ustawienie ich na publiczne.
7. Przejrzyj wskazówki dotyczące zabezpieczania Azure Pipelines.

Firma Microsoft wprowadzi pewne zmiany po wykryciu luki CVE-2023-36052 w interfejsie wiersza polecenia platformy Azure. Jedną z tych zmian, twierdzi firma, jest wdrożenie nowego ustawienia domyślnego, które zapobiega wrażliwym informacje oznaczone jako tajne przed prezentacją w wynikach poleceń usług z platformy Azure rodzina.

Użytkownicy będą jednak musieli zaktualizować interfejs wiersza polecenia platformy Azure do wersji 2.53.1 i nowszej, ponieważ nowe ustawienie domyślne nie zostanie zaimplementowane w starszych wersjach.

Gigant technologiczny z Redmond rozszerza także możliwości redakcyjne zarówno w GitHub Actions, jak i Azure Pipelines, aby lepiej identyfikować i przechwytywać wszelkie klucze wystawione przez firmę Microsoft, które mogą być udostępniane publicznie dzienniki.

Jeśli korzystasz z interfejsu wiersza polecenia platformy Azure, pamiętaj o zaktualizowaniu platformy do najnowszej wersji już teraz, aby chronić swoje urządzenie i organizację przed luką CVE-2023-36052.