CVE-2023-36052 може розкривати конфіденційну інформацію в загальнодоступних журналах.
Повідомляється, що Azure CLI (інтерфейс командного рядка Azure) мав великий ризик розкриття конфіденційної інформації, включно з обліковими даними, коли хтось взаємодіє з журналами GitHub Actions на платформі, відповідно до остання публікація в блозі із Центру безпеки Microsoft.
MSRC дізнався про вразливість, яка тепер називається CVE-2023-36052, дослідником, який виявив, що налаштування Azure Команди CLI можуть призвести до відображення конфіденційних даних і виводу для безперервної інтеграції та безперервного розгортання (CI/CD) колоди.
Це не перший раз, коли дослідники виявляють, що продукти Microsoft вразливі. На початку цього року команда дослідників повідомила Microsoft, що Teams є дуже схильний до сучасного шкідливого програмного забезпечення, включаючи фішингові атаки. Продукти Microsoft дуже вразливі що 80% облікових записів Microsoft 365 були зламані у 2022 році, поодинці.
Загроза вразливості CVE-2023-36052 була настільки ризикованою, що Microsoft негайно вжила заходів на всіх платформах і Продукти Azure, зокрема Azure Pipelines, GitHub Actions і Azure CLI, а також покращена інфраструктура для кращого протистояння таким налаштування.
У відповідь на звіт Prisma Microsoft внесла кілька змін у різні продукти, включаючи Azure Pipelines, GitHub Actions і Azure CLI, щоб реалізувати більш надійне редагування секретів. Це відкриття підкреслює зростаючу потребу в тому, щоб переконатися, що клієнти не записують конфіденційну інформацію в свої репозиторії та конвеєри CI/CD. Мінімізація ризиків безпеки є спільною відповідальністю; Корпорація Майкрософт випустила оновлення для Azure CLI, щоб запобігти виведенню секретів, і очікується, що клієнти будуть проактивними у вживанні заходів для захисту своїх робочих навантажень.
Microsoft
Що ви можете зробити, щоб уникнути ризику втрати конфіденційної інформації через уразливість CVE-2023-36052?
Технічний гігант із Редмонда каже, що користувачі повинні якомога швидше оновити Azure CLI до останньої версії (2.54). Після оновлення Microsoft також хоче, щоб користувачі дотримувалися цієї вказівки:
- Завжди оновлюйте Azure CLI до останньої версії, щоб отримувати найновіші оновлення безпеки.
- Уникайте показу вихідних даних Azure CLI в журналах і/або загальнодоступних місцях. Якщо розробляється сценарій, який потребує вихідного значення, переконайтеся, що ви відфільтрували властивість, необхідну для сценарію. Будь ласка перегляньте Інформація Azure CLI щодо форматів виводу і реалізуйте наші рекомендації вказівки щодо маскування змінної середовища.
- Регулярно змінюйте ключі та секрети. Загальна найкраща практика полягає в тому, що клієнтам рекомендується регулярно змінювати ключі та секрети відповідно до такої частоти, яка найкраще підходить для їх середовища. Перегляньте нашу статтю про ключові та секретні міркування в Azure тут.
- Перегляньте вказівки щодо керування секретами для служб Azure.
- Перегляньте найкращі практики GitHub щодо посилення безпеки в GitHub Actions.
- Переконайтеся, що репозиторії GitHub налаштовані як приватні, якщо інше не потрібно, щоб вони були публічними.
- Перегляньте вказівки щодо захисту конвеєрів Azure.
Microsoft внесе деякі зміни після виявлення вразливості CVE-2023-36052 в Azure CLI. Однією з цих змін, за словами компанії, є впровадження нового налаштування за замовчуванням, яке запобігає чутливим інформацію, позначену як таємну, від представлення у виводі команд для служб з Azure родина.
Однак користувачам потрібно буде оновити Azure CLI до версії 2.53.1 і новішої, оскільки нове налаштування за замовчуванням не буде реалізовано в старіших версіях.
Технологічний гігант із Редмонда також розширює можливості редагування як у GitHub Actions, так і Azure Pipelines для кращого визначення та виявлення будь-яких ключів, виданих Microsoft, які можуть бути відкритими для всіх колоди.
Якщо ви використовуєте Azure CLI, оновіть платформу до останньої версії прямо зараз, щоб захистити свій пристрій і організацію від уразливості CVE-2023-36052.
