ЦВЕ-2023-36052 може да открије поверљиве информације у јавним евиденцијама.
Азуре ЦЛИ (Азуре интерфејс командне линије) је наводно био изложен великом ризику од излагања осетљивих информација, укључујући акредитиве, кад год би неко ступио у интеракцију са евиденцијама ГитХуб Ацтионс на платформи, према најновији блог пост из Мицрософт центра за безбедносни одговор.
МСРЦ је био свестан рањивости, која се сада зове ЦВЕ-2023-36052, од стране истраживача који је открио да подешавање Азуре ЦЛИ команде могу довести до приказивања осетљивих података и излаза у континуирану интеграцију и континуирану имплементацију (ЦИ/ЦД) трупаца.
Ово није први пут да су истраживачи открили да су Мицрософт производи рањиви. Раније ове године, тим истраживача је обавестио Мицрософт да Теамс јесте веома склона модерном малверу, укључујући пхисхинг нападе. Мицрософт производи су тако рањиви да је 80% Мицрософт 365 налога хаковано 2022, сама.
Претња од ЦВЕ-2023-36052 рањивости била је толики ризик да је Мицрософт одмах предузео мере на свим платформама и Азуре производи, укључујући Азуре Пипелинес, ГитХуб Ацтионс и Азуре ЦЛИ, и побољшану инфраструктуру да се боље одупру таквим дотеривање.
Као одговор на Присмин извештај, Мицрософт је направио неколико измена у различитим производима, укључујући Азуре Пипелинес, ГитХуб Ацтионс и Азуре ЦЛИ, како би имплементирао робусније тајне редакције. Ово откриће наглашава све већу потребу да се осигура да клијенти не пријављују осетљиве информације у своје репо и ЦИ/ЦД канале. Минимизирање безбедносног ризика је заједничка одговорност; Мицрософт је издао ажурирање за Азуре ЦЛИ како би спречио објављивање тајни и од купаца се очекује да буду проактивни у предузимању корака да обезбеде своја радна оптерећења.
Мицрософт
Шта можете да урадите да бисте избегли ризик од губитка осетљивих информација због рањивости ЦВЕ-2023-36052?
Технолошки гигант са седиштем у Редмонду каже да би корисници требало да ажурирају Азуре ЦЛИ на најновију верзију (2.54) што је пре могуће. Након ажурирања, Мицрософт такође жели да корисници следе ове смернице:
- Увек ажурирајте Азуре ЦЛИ на најновије издање да бисте добили најновија безбедносна ажурирања.
- Избегавајте излагање Азуре ЦЛИ излаза у евиденцијама и/или јавно доступним локацијама. Ако развијате скрипту која захтева излазну вредност, уверите се да сте филтрирали својство потребно за скрипту. Прегледајте Азуре ЦЛИ информације у вези са излазним форматима и примените нашу препоручену упутство за маскирање променљиве окружења.
- Редовно ротирајте кључеве и тајне. Као општа најбоља пракса, клијенти се подстичу да редовно ротирају кључеве и тајне у ритму који најбоље одговара њиховом окружењу. Погледајте наш чланак о кључним и тајним разматрањима у Азуре-у овде.
- Прегледајте упутства за управљање тајнама за Азуре услуге.
- Прегледајте ГитХуб најбоље праксе за јачање безбедности у ГитХуб Ацтионс.
- Уверите се да су ГитХуб спремишта постављена на приватна осим ако другачије није потребно да буду јавна.
- Прегледајте упутства за обезбеђивање Азуре цевовода.
Мицрософт ће извршити неке промене након открића рањивости ЦВЕ-2023-36052 на Азуре ЦЛИ. Једна од ових промена, каже компанија, је имплементација нове подразумеване поставке која спречава осетљиво информације означене као тајне од приказивања у излазу команди за услуге из Азуре-а породица.
Међутим, корисници ће морати да ажурирају на верзију 2.53.1 и новију верзију Азуре ЦЛИ, пошто нова подразумевана поставка неће бити примењена на старије верзије.
Технолошки гигант са седиштем у Редмонду такође проширује могућности редакције у ГитХуб акцијама и Азуре Пипелинес за боље идентификовање и хватање свих кључева које је издао Мицрософт који могу бити изложени у јавности трупаца.
Ако користите Азуре ЦЛИ, обавезно ажурирајте платформу на најновију верзију одмах да бисте заштитили свој уређај и своју организацију од ЦВЕ-2023-36052 рањивости.
