CVE-2023-36052 môže odhaliť dôverné informácie vo verejných protokoloch.
Azure CLI (Azure Command-Line Interface) bolo údajne vystavené veľkému riziku odhalenia citlivých informácií, vrátane poverení, kedykoľvek by niekto interagoval s denníkmi akcií GitHub na platforme, podľa najnovší blogový príspevok z centra Microsoft Security Response Center.
Spoločnosť MSRC bola upozornená na zraniteľnosť, ktorá sa teraz nazýva CVE-2023-36052, výskumníkom, ktorý zistil, že ladenie Azure Príkazy CLI by mohli viesť k zobrazeniu citlivých údajov a výstupu do nepretržitej integrácie a nepretržitého nasadenia (CI/CD) protokoly.
Nie je to prvýkrát, čo výskumníci zistili, že produkty spoločnosti Microsoft sú zraniteľné. Začiatkom tohto roka tím výskumníkov upozornil Microsoft, že Teams je veľmi náchylné na moderný malvérvrátane phishingových útokov. Produkty spoločnosti Microsoft sú tak zraniteľné že 80 % účtov Microsoft 365 bolo napadnutých v roku 2022, sám.
Hrozba zraniteľnosti CVE-2023-36052 bola takým rizikom, že spoločnosť Microsoft okamžite začala konať na všetkých platformách a Produkty Azure vrátane Azure Pipelines, GitHub Actions a Azure CLI a vylepšená infraštruktúra na lepšiu odolnosť voči takýmto ladenie.
V reakcii na správu spoločnosti Prisma spoločnosť Microsoft vykonala niekoľko zmien v rôznych produktoch vrátane Azure Pipelines, GitHub Actions a Azure CLI, aby implementovala robustnejšiu tajnú úpravu. Tento objav poukazuje na rastúcu potrebu zabezpečiť, aby zákazníci nezapisovali citlivé informácie do svojich repo a CI/CD kanálov. Minimalizácia bezpečnostného rizika je spoločnou zodpovednosťou; Spoločnosť Microsoft vydala aktualizáciu Azure CLI, aby pomohla zabrániť výstupu tajomstiev a od zákazníkov sa očakáva, že budú proaktívni pri podnikaní krokov na zabezpečenie ich pracovného zaťaženia.
Microsoft
Čo môžete urobiť, aby ste predišli riziku straty citlivých informácií kvôli zraniteľnosti CVE-2023-36052?
Technologický gigant so sídlom v Redmonde tvrdí, že používatelia by mali aktualizovať Azure CLI na najnovšiu verziu (2.54) čo najskôr. Po aktualizácii Microsoft tiež chce, aby používatelia dodržiavali tieto pokyny:
- Vždy aktualizujte Azure CLI na najnovšie vydanie, aby ste získali najnovšie aktualizácie zabezpečenia.
- Vyhnite sa odhaleniu výstupu Azure CLI v denníkoch a/alebo verejne prístupných miestach. Ak vyvíjate skript, ktorý vyžaduje výstupnú hodnotu, uistite sa, že ste odfiltrovali vlastnosť potrebnú pre skript. Skontrolujte Informácie Azure CLI týkajúce sa výstupných formátov a implementovať naše odporúčané návod na maskovanie premennej prostredia.
- Pravidelne otáčajte kľúče a tajomstvá. Ako všeobecný osvedčený postup sa zákazníkom odporúča, aby pravidelne striedali kľúče a tajomstvá takouto frekvenciou, ktorá najlepšie vyhovuje ich prostrediu. Pozrite si náš článok o kľúčových a tajných úvahách v Azure tu.
- Pozrite si pokyny týkajúce sa správy tajných informácií pre služby Azure.
- Pozrite si osvedčené postupy GitHubu na posilnenie zabezpečenia v akciách GitHub.
- Uistite sa, že sú archívy GitHub nastavené ako súkromné, pokiaľ nie je potrebné, aby boli verejné.
- Prečítajte si pokyny na zabezpečenie Azure Pipelines.
Spoločnosť Microsoft vykoná určité zmeny po zistení zraniteľnosti CVE-2023-36052 v Azure CLI. Jednou z týchto zmien, hovorí spoločnosť, je implementácia nového predvoleného nastavenia, ktoré zabraňuje citlivým informácie označené ako tajné nebudú prezentované vo výstupe príkazov pre služby z Azure rodina.
Používatelia však budú musieť aktualizovať na verziu 2.53.1 a vyššiu Azure CLI, pretože nové predvolené nastavenie nebude implementované v starších verziách.
Technologický gigant so sídlom v Redmonde tiež rozširuje možnosti redakcie v akciách GitHub a GitHub Azure Pipelines na lepšiu identifikáciu a zachytenie všetkých kľúčov vydaných spoločnosťou Microsoft, ktoré môžu byť zverejnené protokoly.
Ak používate Azure CLI, uistite sa, že ste práve teraz aktualizovali platformu na najnovšiu verziu, aby ste ochránili svoje zariadenie a svoju organizáciu pred zraniteľnosťou CVE-2023-36052.
