Azure CLI är den senaste Microsoft-produkten som är allvarligt utsatt på grund av en ny sårbarhet

CVE-2023-36052 kan avslöja konfidentiell information i offentliga loggar.

Azure CLI (Azure Command-Line Interface) löpte enligt uppgift stor risk att exponera känslig information, inklusive inloggningsuppgifter, närhelst någon skulle interagera med GitHub Actions-loggarna på plattformen, enligt senaste blogginlägget från Microsoft Security Response Center.

MSRC gjordes medveten om sårbarheten, nu kallad CVE-2023-36052, av en forskare som fick reda på att tweaking Azure CLI-kommandon kan leda till visning av känsliga data och utdata till kontinuerlig integration och kontinuerlig driftsättning (CI/CD) loggar.

Det är inte första gången som forskare får reda på att Microsofts produkter är sårbara. Tidigare i år gjorde ett team av forskare Microsoft medvetet om att Teams är det mycket benägen för modern skadlig programvara, inklusive nätfiskeattacker. Microsofts produkter är så sårbara att 80 % av Microsoft 365-konton hackades 2022, ensam.

Hotet från CVE-2023-36052-sårbarheten var en sådan risk att Microsoft omedelbart vidtog åtgärder på alla plattformar och Azure-produkter, inklusive Azure Pipelines, GitHub Actions och Azure CLI, och förbättrad infrastruktur för att bättre motstå sådana tweaking.

Som svar på Prismas rapport har Microsoft gjort flera ändringar i olika produkter, inklusive Azure Pipelines, GitHub Actions och Azure CLI, för att implementera mer robust hemlig redaktion. Denna upptäckt belyser det ökande behovet av att hjälpa till att säkerställa att kunderna inte loggar känslig information i sina repo- och CI/CD-pipelines. Att minimera säkerhetsrisker är ett delat ansvar; Microsoft har utfärdat en uppdatering till Azure CLI för att förhindra att hemligheter matas ut och kunder förväntas vara proaktiva när det gäller att vidta åtgärder för att säkra sina arbetsbelastningar.

Microsoft

Vad kan du göra för att undvika risken att förlora känslig information till CVE-2023-36052 sårbarheten?

Den Redmond-baserade teknikjätten säger att användare bör uppdatera Azure CLI till den senaste versionen (2.54) så snart som möjligt. Efter uppdateringen vill Microsoft också att användarna ska följa denna riktlinje:

1. Uppdatera alltid Azure CLI till den senaste versionen för att få de senaste säkerhetsuppdateringarna.
2. Undvik att exponera Azure CLI-utdata i loggar och/eller offentligt tillgängliga platser. Om du utvecklar ett skript som kräver utdatavärdet, se till att du filtrerar bort egenskapen som behövs för skriptet. Var god recensera Azure CLI-information om utdataformat och implementera våra rekommenderade vägledning för att maskera en miljövariabel.
3. Rotera nycklar och hemligheter regelbundet. Som en allmän bästa praxis uppmuntras kunder att regelbundet rotera nycklar och hemligheter på en takt som fungerar bäst för deras miljö. Se vår artikel om viktiga och hemliga överväganden i Azure här.
4. Granska vägledningen kring hemlighetshantering för Azure-tjänster.
5. Granska GitHubs bästa praxis för säkerhetshärdning i GitHub Actions.
6. Se till att GitHub-förråd är inställda på privata om inte annat behövs för att vara offentliga.
7. Granska vägledningen för att säkra Azure Pipelines.

Microsoft kommer att göra några ändringar efter upptäckten av CVE-2023-36052-sårbarheten på Azure CLI. En av dessa förändringar, säger företaget, är implementeringen av en ny standardinställning som förhindrar känslig information märkt som hemlig från att presenteras i utdata från kommandon för tjänster från Azure familj.

Användare måste dock uppdatera till 2.53.1 och senare version av Azure CLI, eftersom den nya standardinställningen inte kommer att implementeras på äldre versioner.

Den Redmond-baserade teknikjätten utökar också redaktionsmöjligheterna i både GitHub Actions och Azure Pipelines för att bättre identifiera och fånga alla Microsoft-utfärdade nycklar som kan exponeras offentligt loggar.

Om du använder Azure CLI, se till att uppdatera plattformen till den senaste versionen just nu för att skydda din enhet och din organisation mot CVE-2023-36052-sårbarheten.