Azure CLI é o produto mais recente da Microsoft que corre grave risco devido a uma nova vulnerabilidade

CVE-2023-36052 pode expor informações confidenciais em registros públicos.

CVE-2023-36052

A CLI do Azure (Azure Command-Line Interface) corria grande risco de expor informações confidenciais, incluindo credenciais, sempre que alguém interagir com os logs do GitHub Actions na plataforma, de acordo com a última postagem do blog do Centro de Resposta de Segurança da Microsoft.

O MSRC tomou conhecimento da vulnerabilidade, agora chamada CVE-2023-36052, por um pesquisador que descobriu que ajustar o Azure Os comandos CLI podem levar à exibição de dados confidenciais e saída para Integração Contínua e Implantação Contínua (CI/CD) Histórico.

Esta não é a primeira vez que os pesquisadores descobrem que os produtos da Microsoft são vulneráveis. No início deste ano, uma equipe de pesquisadores informou à Microsoft que o Teams está altamente propenso a malware moderno, incluindo ataques de phishing. Os produtos da Microsoft são tão vulneráveis que 80% das contas do Microsoft 365 foram hackeadas em 2022, sozinho.

A ameaça da vulnerabilidade CVE-2023-36052 era um risco tão grande que a Microsoft imediatamente tomou medidas em todas as plataformas e Produtos Azure, incluindo Azure Pipelines, GitHub Actions e Azure CLI, e infraestrutura aprimorada para melhor resistir a tais ajustes.

Em resposta ao relatório do Prisma, a Microsoft fez várias alterações em diferentes produtos, incluindo Azure Pipelines, GitHub Actions e Azure CLI, para implementar uma redação secreta mais robusta. Essa descoberta destaca a necessidade crescente de ajudar a garantir que os clientes não registrem informações confidenciais em seus repositórios e pipelines de CI/CD. Minimizar o risco de segurança é uma responsabilidade partilhada; A Microsoft lançou uma atualização para a CLI do Azure para ajudar a impedir a saída de segredos e espera-se que os clientes sejam proativos na tomada de medidas para proteger suas cargas de trabalho.

Microsoft

O que você pode fazer para evitar o risco de perder informações confidenciais devido à vulnerabilidade CVE-2023-36052?

A gigante da tecnologia com sede em Redmond diz que os usuários devem atualizar o Azure CLI para a versão mais recente (2.54) o mais rápido possível. Após a atualização, a Microsoft também deseja que os usuários sigam esta diretriz:

  1. Atualize sempre o Azure CLI para a versão mais recente para receber as atualizações de segurança mais recentes.
  2. Evite expor a saída da CLI do Azure em registos e/ou locais acessíveis ao público. Se estiver desenvolvendo um script que exija o valor de saída, certifique-se de filtrar a propriedade necessária para o script. Por favor revise Informações da CLI do Azure sobre formatos de saída e implementar nossas recomendações orientação para mascarar uma variável de ambiente.
  3. Gire chaves e segredos regularmente. Como prática recomendada geral, os clientes são incentivados a alternar chaves e segredos regularmente em uma cadência que funcione melhor para seu ambiente. Consulte nosso artigo sobre considerações importantes e secretas no Azure aqui.
  4. Revise as orientações sobre gerenciamento de segredos para serviços do Azure.
  5. Revise as práticas recomendadas do GitHub para reforço da segurança no GitHub Actions.
  6. Certifique-se de que os repositórios GitHub estejam definidos como privados, a menos que seja necessário que sejam públicos.
  7. Revise as orientações para proteger o Azure Pipelines.

A Microsoft fará algumas alterações após a descoberta da vulnerabilidade CVE-2023-36052 na CLI do Azure. Uma dessas mudanças, diz a empresa, é a implementação de uma nova configuração padrão que impede informações rotuladas como secretas sejam apresentadas na saída de comandos para serviços do Azure família.CVE-2023-36052

No entanto, os utilizadores terão de atualizar para a versão 2.53.1 e superior do Azure CLI, uma vez que a nova definição padrão não será implementada em versões mais antigas.

A gigante da tecnologia com sede em Redmond também está expandindo os recursos de redação em GitHub Actions e Azure Pipelines para melhor identificar e capturar quaisquer chaves emitidas pela Microsoft que possam ser expostas em público Histórico.

Se utilizar o Azure CLI, atualize a plataforma para a versão mais recente agora mesmo para proteger o seu dispositivo e a sua organização contra a vulnerabilidade CVE-2023-36052.

5 melhores alternativas para a caixa Bitdefender [Guia 2021]

5 melhores alternativas para a caixa Bitdefender [Guia 2021]Cíber SegurançaFirewall

Este dispositivo suporta largura de banda de até 100 Mbits, o que deve ser suficiente para redes menores. Graças ao Intrusion Prevention System, todos os dispositivos em sua rede, com e sem fio, es...

Consulte Mais informação
5+ melhores antivírus gratuitos por um ano [Guia 2021]

5+ melhores antivírus gratuitos por um ano [Guia 2021]Cíber SegurançaAntivírus Gratuito

Você pode obter até um ano de avaliação gratuita do seu antivírus favorito. Um test drive é preferível antes de fazer qualquer compra, apenas para ter certeza de que seu dinheiro está bem investido...

Consulte Mais informação
Mais de 5 ferramentas antimalware gratuitas para Windows XP para proteger seu PC

Mais de 5 ferramentas antimalware gratuitas para Windows XP para proteger seu PCAntimalwareCíber Segurança

Especialização em software e hardware que economiza tempo e ajuda 200 milhões de usuários anualmente. Orientando você com conselhos, notícias e dicas para atualizar sua vida tecnológica.Avast é pro...

Consulte Mais informação