CVE-2023-36052 lahko razkrije zaupne informacije v javnih dnevnikih.
Azure CLI (Azure Command-Line Interface) naj bi bil izpostavljen velikemu tveganju razkritja občutljivih informacij, vključno s poverilnicami, kadarkoli bi nekdo komuniciral z dnevniki GitHub Actions na platformi, po navedbah najnovejša objava v blogu iz Microsoftovega varnostnega odzivnega centra.
MSRC je za ranljivost, ki se zdaj imenuje CVE-2023-36052, obvestil raziskovalec, ki je ugotovil, da prilagajanje Azure Ukazi CLI lahko vodijo do prikaza občutljivih podatkov in izhoda za stalno integracijo in neprekinjeno uvajanje (CI/CD) dnevniki.
To ni prvič, da so raziskovalci ugotovili, da so Microsoftovi izdelki ranljivi. V začetku tega leta je skupina raziskovalcev Microsoftu povedala, da je Teams zelo dovzetni za sodobno zlonamerno programsko opremo, vključno z lažnim predstavljanjem. Microsoftovi izdelki so tako ranljivi da je bilo leta 2022 vdrto v 80 % računov Microsoft 365, sam.
Grožnja ranljivosti CVE-2023-36052 je bila tako velika, da je Microsoft takoj ukrepal na vseh platformah in Izdelki Azure, vključno z Azure Pipelines, GitHub Actions in Azure CLI, ter izboljšana infrastruktura za boljši upor proti takim prilagajanje.
Kot odgovor na Prismino poročilo je Microsoft izvedel več sprememb v različnih izdelkih, vključno z Azure Pipelines, GitHub Actions in Azure CLI, da bi uvedel robustnejše tajno redigiranje. To odkritje poudarja vse večjo potrebo po zagotavljanju, da stranke ne beležijo občutljivih informacij v svoje repo in CI/CD cevovode. Zmanjševanje varnostnega tveganja je skupna odgovornost; Microsoft je izdal posodobitev za Azure CLI, ki pomaga preprečiti izpisovanje skrivnosti, od strank pa se pričakuje, da bodo proaktivne pri sprejemanju ukrepov za zaščito svojih delovnih obremenitev.
Microsoft
Kaj lahko storite, da se izognete tveganju izgube občutljivih informacij zaradi ranljivosti CVE-2023-36052?
Tehnološki velikan s sedežem v Redmondu pravi, da bi morali uporabniki čim prej posodobiti Azure CLI na najnovejšo različico (2.54). Po posodobitvi Microsoft želi tudi, da uporabniki upoštevajo to smernico:
- Vedno posodobite Azure CLI na najnovejšo izdajo, da prejmete najnovejše varnostne posodobitve.
- Izogibajte se izpostavljanju izhoda Azure CLI v dnevnikih in/ali na javno dostopnih lokacijah. Če razvijate skript, ki zahteva izhodno vrednost, poskrbite, da boste filtrirali lastnost, ki je potrebna za skript. Prosimo, preglejte Informacije Azure CLI glede izhodnih formatov in izvajajte naše priporočilo navodila za maskiranje spremenljivke okolja.
- Redno izmenjujte ključe in skrivnosti. Kot splošno najboljšo prakso se stranke spodbuja, da redno izmenjujejo ključe in skrivnosti s kadenco, ki najbolj ustreza njihovemu okolju. Oglejte si naš članek o ključnih in skrivnih vidikih v Azure tukaj.
- Preglejte navodila za upravljanje skrivnosti za storitve Azure.
- Preglejte najboljše prakse GitHub za krepitev varnosti v GitHub Actions.
- Zagotovite, da so repozitoriji GitHub nastavljeni na zasebne, razen če je drugače potrebno, da so javni.
- Preglejte smernice za zaščito cevovodov Azure.
Microsoft bo naredil nekaj sprememb po odkritju ranljivosti CVE-2023-36052 na Azure CLI. Ena od teh sprememb, pravi podjetje, je implementacija nove privzete nastavitve, ki preprečuje občutljive informacije, označene kot skrivne, da niso predstavljene v izhodu ukazov za storitve iz Azure družina.
Vendar bodo morali uporabniki posodobiti na 2.53.1 in novejšo različico Azure CLI, saj nova privzeta nastavitev ne bo implementirana v starejših različicah.
Tehnološki velikan s sedežem v Redmondu prav tako širi zmožnosti redigiranja v GitHub Actions in Azure Pipelines za boljše prepoznavanje in lovljenje vseh ključev, ki jih je izdal Microsoft in so lahko javno izpostavljeni dnevniki.
Če uporabljate Azure CLI, takoj posodobite platformo na najnovejšo različico, da zaščitite svojo napravo in organizacijo pred ranljivostjo CVE-2023-36052.
