CVE-2023-36052 может раскрывать конфиденциальную информацию в общедоступных журналах.
Сообщается, что Azure CLI (интерфейс командной строки Azure) подвергался большому риску раскрытия конфиденциальной информации. включая учетные данные, всякий раз, когда кто-то взаимодействует с журналами действий GitHub на платформе, в соответствии с последняя запись в блоге из Центра реагирования безопасности Microsoft.
MSRC узнал об уязвимости, которая теперь называется CVE-2023-36052, от исследователя, который обнаружил, что настройка Azure Команды CLI могут привести к отображению конфиденциальных данных и их выводу в систему непрерывной интеграции и непрерывного развертывания (CI/CD). журналы.
Это не первый раз, когда исследователи обнаруживают уязвимость продуктов Microsoft. Ранее в этом году группа исследователей сообщила Microsoft, что Teams очень подвержен современным вредоносным программам, включая фишинговые атаки. Продукты Microsoft настолько уязвимы что 80% учетных записей Microsoft 365 были взломаны в 2022 году, один.
Угроза уязвимости CVE-2023-36052 была настолько велика, что Microsoft немедленно приняла меры на всех платформах и Продукты Azure, включая Azure Pipelines, GitHub Actions и Azure CLI, а также улучшенную инфраструктуру, позволяющую лучше противостоять таким настройка.
В ответ на отчет Prisma Microsoft внесла несколько изменений в различные продукты, включая Azure Pipelines, GitHub Actions и Azure CLI, для реализации более надежного секретного редактирования. Это открытие подчеркивает растущую необходимость гарантировать, что клиенты не регистрируют конфиденциальную информацию в своих репозиториях и конвейерах CI/CD. Минимизация риска безопасности — это общая ответственность; Microsoft выпустила обновление для Azure CLI, чтобы предотвратить раскрытие секретов, и ожидается, что клиенты будут активно принимать меры для защиты своих рабочих нагрузок.
Майкрософт
Что вы можете сделать, чтобы избежать риска потери конфиденциальной информации из-за уязвимости CVE-2023-36052?
Технический гигант из Редмонда говорит, что пользователям следует как можно скорее обновить Azure CLI до последней версии (2.54). После обновления Microsoft также хочет, чтобы пользователи следовали этому правилу:
- Всегда обновляйте Azure CLI до последней версии, чтобы получать самые последние обновления безопасности.
- Не публикуйте выходные данные Azure CLI в журналах и/или общедоступных местах. При разработке сценария, требующего выходного значения, убедитесь, что вы отфильтровали свойство, необходимое для сценария. Пожалуйста ознакомтесь Информация Azure CLI о форматах вывода. и внедрить наши рекомендации руководство по маскировке переменной среды.
- Регулярно меняйте ключи и секреты. В качестве общей передовой практики клиентам рекомендуется регулярно менять ключи и секреты с частотой, которая лучше всего подходит для их среды. См. нашу статью о ключевых и секретных аспектах Azure. здесь.
- Ознакомьтесь с руководством по управлению секретами для служб Azure..
- Ознакомьтесь с лучшими практиками GitHub по усилению безопасности в GitHub Actions..
- Убедитесь, что репозитории GitHub настроены как частные, если иное не требуется сделать общедоступными..
- Ознакомьтесь с руководством по обеспечению безопасности Azure Pipelines..
Microsoft внесет некоторые изменения после обнаружения уязвимости CVE-2023-36052 в Azure CLI. Одним из этих изменений, по словам компании, является внедрение новой настройки по умолчанию, которая предотвращает конфиденциальную информацию. информация, помеченная как секретная, не должна быть представлена в выводе команд для служб из Azure. семья.
Однако пользователям необходимо будет обновить Azure CLI до версии 2.53.1 и выше, поскольку новый параметр по умолчанию не будет реализован в более старых версиях.
Технический гигант из Редмонда также расширяет возможности редактирования как в GitHub Actions, так и в GitHub Actions. Azure Pipelines, чтобы лучше идентифицировать и перехватывать любые ключи, выпущенные Microsoft, которые могут быть общедоступными. журналы.
Если вы используете Azure CLI, обязательно обновите платформу до последней версии прямо сейчас, чтобы защитить свое устройство и свою организацию от уязвимости CVE-2023-36052.
