Azure CLI — це останній продукт Microsoft, який опиниться під серйозною загрозою через нову вразливість

CVE-2023-36052 може розкривати конфіденційну інформацію в загальнодоступних журналах.

CVE-2023-36052

Повідомляється, що Azure CLI (інтерфейс командного рядка Azure) мав великий ризик розкриття конфіденційної інформації, включно з обліковими даними, коли хтось взаємодіє з журналами GitHub Actions на платформі, відповідно до остання публікація в блозі із Центру безпеки Microsoft.

MSRC дізнався про вразливість, яка тепер називається CVE-2023-36052, дослідником, який виявив, що налаштування Azure Команди CLI можуть призвести до відображення конфіденційних даних і виводу для безперервної інтеграції та безперервного розгортання (CI/CD) колоди.

Це не перший раз, коли дослідники виявляють, що продукти Microsoft вразливі. На початку цього року команда дослідників повідомила Microsoft, що Teams є дуже схильний до сучасного шкідливого програмного забезпечення, включаючи фішингові атаки. Продукти Microsoft дуже вразливі що 80% облікових записів Microsoft 365 були зламані у 2022 році, поодинці.

Загроза вразливості CVE-2023-36052 була настільки ризикованою, що Microsoft негайно вжила заходів на всіх платформах і Продукти Azure, зокрема Azure Pipelines, GitHub Actions і Azure CLI, а також покращена інфраструктура для кращого протистояння таким налаштування.

У відповідь на звіт Prisma Microsoft внесла кілька змін у різні продукти, включаючи Azure Pipelines, GitHub Actions і Azure CLI, щоб реалізувати більш надійне редагування секретів. Це відкриття підкреслює зростаючу потребу в тому, щоб переконатися, що клієнти не записують конфіденційну інформацію в свої репозиторії та конвеєри CI/CD. Мінімізація ризиків безпеки є спільною відповідальністю; Корпорація Майкрософт випустила оновлення для Azure CLI, щоб запобігти виведенню секретів, і очікується, що клієнти будуть проактивними у вживанні заходів для захисту своїх робочих навантажень.

Microsoft

Що ви можете зробити, щоб уникнути ризику втрати конфіденційної інформації через уразливість CVE-2023-36052?

Технічний гігант із Редмонда каже, що користувачі повинні якомога швидше оновити Azure CLI до останньої версії (2.54). Після оновлення Microsoft також хоче, щоб користувачі дотримувалися цієї вказівки:

  1. Завжди оновлюйте Azure CLI до останньої версії, щоб отримувати найновіші оновлення безпеки.
  2. Уникайте показу вихідних даних Azure CLI в журналах і/або загальнодоступних місцях. Якщо розробляється сценарій, який потребує вихідного значення, переконайтеся, що ви відфільтрували властивість, необхідну для сценарію. Будь ласка перегляньте Інформація Azure CLI щодо форматів виводу і реалізуйте наші рекомендації вказівки щодо маскування змінної середовища.
  3. Регулярно змінюйте ключі та секрети. Загальна найкраща практика полягає в тому, що клієнтам рекомендується регулярно змінювати ключі та секрети відповідно до такої частоти, яка найкраще підходить для їх середовища. Перегляньте нашу статтю про ключові та секретні міркування в Azure тут.
  4. Перегляньте вказівки щодо керування секретами для служб Azure.
  5. Перегляньте найкращі практики GitHub щодо посилення безпеки в GitHub Actions.
  6. Переконайтеся, що репозиторії GitHub налаштовані як приватні, якщо інше не потрібно, щоб вони були публічними.
  7. Перегляньте вказівки щодо захисту конвеєрів Azure.

Microsoft внесе деякі зміни після виявлення вразливості CVE-2023-36052 в Azure CLI. Однією з цих змін, за словами компанії, є впровадження нового налаштування за замовчуванням, яке запобігає чутливим інформацію, позначену як таємну, від представлення у виводі команд для служб з Azure родина.CVE-2023-36052

Однак користувачам потрібно буде оновити Azure CLI до версії 2.53.1 і новішої, оскільки нове налаштування за замовчуванням не буде реалізовано в старіших версіях.

Технологічний гігант із Редмонда також розширює можливості редагування як у GitHub Actions, так і Azure Pipelines для кращого визначення та виявлення будь-яких ключів, виданих Microsoft, які можуть бути відкритими для всіх колоди.

Якщо ви використовуєте Azure CLI, оновіть платформу до останньої версії прямо зараз, щоб захистити свій пристрій і організацію від уразливості CVE-2023-36052.

5 найкращих програм із відкритим вихідним кодом для корпоративної мережевої безпеки

5 найкращих програм із відкритим вихідним кодом для корпоративної мережевої безпекиМережаКібербезпекаПідприємство

Якщо ви шукаєте найкращий інструмент безпеки мережі з відкритим вихідним кодом, відповіддю буде Wazuh.Звичайно, це рішення з відкритим кодом, яке забезпечує захист робочих навантажень у локальних, ...

Читати далі
Як видалити спливаюче повідомлення «SLU_Updater.exe».

Як видалити спливаюче повідомлення «SLU_Updater.exe».Кібербезпекавиправлення для Windows 10

Антивірус ESET постачається з усіма інструментами безпеки, які можуть вам знадобитися для захисту ваших даних і конфіденційності, зокрема:Протиугінна підтримкаЗахист веб-камериІнтуїтивно зрозуміле ...

Читати далі
5 найкращих програм для перевірки портів [відкриті порти та вдосконалені сканери]

5 найкращих програм для перевірки портів [відкриті порти та вдосконалені сканери]ПортиКібербезпека

ManageEngine OpUtils — це надійний інструмент керування мережею, який має функцію сканування портів. Ця розширена функція полегшує сканування портів мережевого комутатора та портів TCP і UDP систем...

Читати далі