Azure CLI เป็นผลิตภัณฑ์ล่าสุดของ Microsoft ที่มีความเสี่ยงอย่างรุนแรงเนื่องจากช่องโหว่ใหม่

CVE-2023-36052 สามารถเปิดเผยข้อมูลที่เป็นความลับในบันทึกสาธารณะ

มีรายงานว่า Azure CLI (Azure Command-Line Interface) มีความเสี่ยงสูงในการเปิดเผยข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลประจำตัว เมื่อใดก็ตามที่มีคนโต้ตอบกับบันทึก GitHub Actions บนแพลตฟอร์ม ตาม โพสต์บล็อกล่าสุด จากศูนย์ตอบสนองความปลอดภัยของ Microsoft

MSRC ได้รับทราบถึงช่องโหว่นี้ ซึ่งปัจจุบันเรียกว่า CVE-2023-36052 โดยนักวิจัยที่พบว่ามีการปรับแต่ง Azure คำสั่ง CLI อาจนำไปสู่การแสดงข้อมูลที่ละเอียดอ่อนและเอาต์พุตไปยังการบูรณาการอย่างต่อเนื่องและการปรับใช้อย่างต่อเนื่อง (CI/CD) บันทึก

นี่ไม่ใช่ครั้งแรกที่นักวิจัยพบว่าผลิตภัณฑ์ของ Microsoft มีความเสี่ยง เมื่อต้นปีที่ผ่านมา ทีมนักวิจัยทำให้ Microsoft ทราบว่า Teams นั้นเป็นเช่นนั้น มีแนวโน้มสูงต่อมัลแวร์สมัยใหม่รวมถึงการโจมตีแบบฟิชชิ่ง ผลิตภัณฑ์ของ Microsoft มีความเสี่ยงมาก 80% ของบัญชี Microsoft 365 ถูกแฮ็กในปี 2022, ตามลำพัง.

ภัยคุกคามจากช่องโหว่ CVE-2023-36052 ถือเป็นความเสี่ยงที่ Microsoft ดำเนินการทันทีในทุกแพลตฟอร์มและ ผลิตภัณฑ์ Azure รวมถึง Azure Pipelines, GitHub Actions และ Azure CLI และโครงสร้างพื้นฐานที่ได้รับการปรับปรุงเพื่อต้านทานสิ่งเหล่านี้ได้ดียิ่งขึ้น การปรับแต่ง

เพื่อเป็นการตอบสนองต่อรายงานของ Prisma ทาง Microsoft ได้ทำการเปลี่ยนแปลงหลายอย่างกับผลิตภัณฑ์ต่างๆ รวมถึง Azure Pipelines, GitHub Actions และ Azure CLI เพื่อดำเนินการแก้ไขความลับที่มีประสิทธิภาพมากขึ้น การค้นพบนี้เน้นย้ำถึงความต้องการที่เพิ่มขึ้นในการช่วยให้แน่ใจว่าลูกค้าไม่ได้บันทึกข้อมูลที่ละเอียดอ่อนลงในไปป์ไลน์ repo และ CI/CD การลดความเสี่ยงด้านความปลอดภัยถือเป็นความรับผิดชอบร่วมกัน Microsoft ได้ออกการอัปเดต Azure CLI เพื่อช่วยป้องกันความลับไม่ให้ถูกส่งออก และลูกค้าคาดว่าจะดำเนินการเชิงรุกในการรักษาความปลอดภัยปริมาณงานของตน

ไมโครซอฟต์

คุณสามารถทำอะไรได้บ้างเพื่อหลีกเลี่ยงความเสี่ยงในการสูญเสียข้อมูลที่ละเอียดอ่อนไปยังช่องโหว่ CVE-2023-36052

ยักษ์ใหญ่ด้านเทคโนโลยีจาก Redmond กล่าวว่าผู้ใช้ควรอัปเดต Azure CLI เป็นเวอร์ชันล่าสุด (2.54) โดยเร็วที่สุด หลังจากอัปเดต Microsoft ยังต้องการให้ผู้ใช้ปฏิบัติตามแนวทางนี้:

1. อัปเดต Azure CLI เป็นรุ่นล่าสุดเสมอเพื่อรับการอัปเดตความปลอดภัยล่าสุด
2. หลีกเลี่ยงการเปิดเผยเอาต์พุต Azure CLI ในบันทึกและ/หรือตำแหน่งที่สาธารณะเข้าถึงได้ หากพัฒนาสคริปต์ที่ต้องการค่าเอาต์พุต ตรวจสอบให้แน่ใจว่าคุณกรองคุณสมบัติที่จำเป็นสำหรับสคริปต์ออก กรุณาตรวจสอบ ข้อมูล Azure CLI เกี่ยวกับรูปแบบเอาต์พุต และปฏิบัติตามที่เราแนะนำ คำแนะนำสำหรับการมาสก์ตัวแปรสภาพแวดล้อม
3. หมุนเวียนคีย์และความลับเป็นประจำ ตามแนวทางปฏิบัติที่ดีที่สุดโดยทั่วไป ลูกค้าได้รับการสนับสนุนให้หมุนเวียนคีย์และข้อมูลลับเป็นประจำตามจังหวะที่เหมาะกับสภาพแวดล้อมของตนมากที่สุด ดูบทความของเราเกี่ยวกับข้อควรพิจารณาที่สำคัญและเป็นความลับใน Azure ที่นี่.
4. ทบทวนคำแนะนำเกี่ยวกับการจัดการข้อมูลลับสำหรับบริการ Azure.
5. ตรวจสอบแนวทางปฏิบัติที่ดีที่สุดของ GitHub เพื่อเพิ่มความปลอดภัยใน GitHub Actions.
6. ตรวจสอบให้แน่ใจว่าที่เก็บ GitHub ได้รับการตั้งค่าเป็นแบบส่วนตัว เว้นแต่จำเป็นต้องเปิดเผยต่อสาธารณะ.
7. ทบทวนคำแนะนำสำหรับการรักษาความปลอดภัย Azure Pipelines.

Microsoft จะทำการเปลี่ยนแปลงบางอย่างหลังจากการค้นพบช่องโหว่ CVE-2023-36052 บน Azure CLI บริษัทกล่าวว่าหนึ่งในการเปลี่ยนแปลงเหล่านี้คือการใช้การตั้งค่าเริ่มต้นใหม่ที่ป้องกันความละเอียดอ่อน ข้อมูลที่ถูกระบุว่าเป็นความลับจากการนำเสนอในผลลัพธ์ของคำสั่งสำหรับบริการจาก Azure ตระกูล.

อย่างไรก็ตาม ผู้ใช้จะต้องอัปเดต Azure CLI เวอร์ชัน 2.53.1 ขึ้นไป เนื่องจากการตั้งค่าเริ่มต้นใหม่จะไม่นำไปใช้กับเวอร์ชันเก่า

ยักษ์ใหญ่ด้านเทคโนโลยีจาก Redmond กำลังขยายขีดความสามารถในการแก้ไขทั้งใน GitHub Actions และ Azure Pipelines เพื่อระบุและตรวจจับคีย์ที่ออกโดย Microsoft ได้ดียิ่งขึ้น ซึ่งสามารถเปิดเผยต่อสาธารณะได้ บันทึก

หากคุณใช้ Azure CLI อย่าลืมอัปเดตแพลตฟอร์มเป็นเวอร์ชันล่าสุดทันทีเพื่อปกป้องอุปกรณ์และองค์กรของคุณจากช่องโหว่ CVE-2023-36052