Η Microsoft διόρθωσε μια κρίσιμη ευπάθεια ασφαλείας που θα μπορούσε να επιτρέψει στους εισβολείς να κλέψουν διαπιστευτήρια από τα αρχεία καταγραφής GitHub Actions ή Azure
DevOps
που δημιουργήθηκαν με χρήση του Azure CLI (συντομογραφία της διεπαφής γραμμής εντολών Azure).
Η ευπάθεια (παρακολουθείται ως
CVE-2023-36052
) αναφέρθηκε από ερευνητές ασφαλείας με το Prisma
Cloud
του Palo Alto.
Διαπίστωσαν ότι η επιτυχής εκμετάλλευση επιτρέπει στους μη επαληθευμένους εισβολείς να έχουν απομακρυσμένη πρόσβαση σε περιεχόμενο απλού κειμένου γραμμένο από το Azure CLI σε αρχεία καταγραφής συνεχούς ενοποίησης και συνεχούς ανάπτυξης (CI/CD).
“Ένας εισβολέας που εκμεταλλεύτηκε επιτυχώς αυτήν την ευπάθεια θα μπορούσε να ανακτήσει κωδικούς πρόσβασης και ονόματα χρήστη απλού κειμένου από αρχεία καταγραφής που δημιουργήθηκαν από τις επηρεαζόμενες εντολές CLI και δημοσιεύτηκαν από το Azure DevOps ή/και το GitHub Actions”, δήλωσε η Microsoft
εξηγεί
.
“Οι πελάτες που χρησιμοποιούν τις επηρεαζόμενες εντολές CLI πρέπει να ενημερώσουν την έκδοσή τους Azure CLI σε 2.53.1 ή νεότερη έκδοση για να προστατεύονται από τους κινδύνους αυτής της ευπάθειας. Αυτό ισχύει και για πελάτες με αρχεία καταγραφής που δημιουργούνται χρησιμοποιώντας αυτές τις εντολές μέσω του Azure DevOps ή/και των ενεργειών GitHub .”
Η Microsoft λέει ότι οι πελάτες που χρησιμοποίησαν πρόσφατα εντολές Azure CLI ειδοποιήθηκαν μέσω της πύλης Azure. Σε μια ανάρτηση ιστολογίου του MSRC που δημοσιεύτηκε σήμερα, ο Redmond συμβούλεψε όλους τους πελάτες να ενημερώσουν την τελευταία έκδοση Azure CLI (2.54).
Συνιστάται επίσης να ακολουθήσουν τα ακόλουθα βήματα για να αποτρέψουν την τυχαία έκθεση μυστικών στα αρχεία καταγραφής CI/CD:
-
Διατηρήστε το Azure CLI ενημερωμένο με την πιο πρόσφατη έκδοση.
-
Αποφύγετε την έκθεση της εξόδου Azure CLI σε αρχεία καταγραφής και/ή σε τοποθεσίες προσβάσιμες στο κοινό:
Εάν αναπτύσσετε ένα σενάριο που απαιτεί την τιμή εξόδου, φιλτράρετε την ιδιότητα που απαιτείται για το σενάριο (επισκόπηση
Πληροφορίες CLI Azure σχετικά με τις μορφές εξόδου
και εφαρμόστε τις προτεινόμενες
καθοδήγηση για την απόκρυψη μιας μεταβλητής περιβάλλοντος)
. -
Περιστρέψτε τακτικά κλειδιά και μυστικά.
Ως γενική βέλτιστη πρακτική, οι πελάτες ενθαρρύνονται να εναλλάσσουν τακτικά κλειδιά και μυστικά με ρυθμό που λειτουργεί καλύτερα για το περιβάλλον τους (διατίθεται καθ
οδήγηση
σχετικά με βασικά και μυστικά ζητήματα στο Azure
εδώ
)
.
-
Διαβάστε τις οδηγίες σχετικά με τη διαχείριση μυστικών για τις υπηρεσίες Azure
.
-
Ελέγξτε τις βέλτιστες πρακτικές του GitHub για τη σκλήρυνση της ασφάλειας στο GitHub Actions
.
-
Βεβαιωθείτε ότι τα αποθετήρια GitHub έχουν οριστεί σε ιδιωτικά, εκτός εάν απαιτείται διαφορετικά να είναι δημόσια
.
-
Διαβάστε τις οδηγίες για την ασφάλιση των αγωγών Azure
Η Microsoft έχει εφαρμόσει μια νέα προεπιλεγμένη ρύθμιση παραμέτρων Azure CLI για την ενίσχυση των μέτρων ασφαλείας, με στόχο την αποτροπή της τυχαίας αποκάλυψης ευαίσθητων πληροφοριών. Η ενημερωμένη ρύθμιση περιορίζει πλέον την παρουσίαση μυστικών στην έξοδο που δημιουργείται από εντολές ενημέρωσης που αφορούν
υπηρεσίες
εντός της οικογένειας Υπηρεσιών Εφαρμογών, συμπεριλαμβανομένων των Εφαρμογών Ιστού και των Λειτουργιών.
Ωστόσο, η νέα προεπιλογή θα εφαρμοστεί σε πελάτες που έχουν ενημερώσει την πιο πρόσφατη έκδοση Azure CLI (2.53.1 και νεότερη), ενώ οι προηγούμενες εκδόσεις (2.53.0 και νεότερες) εξακολουθούν να είναι ευάλωτες στην εκμετάλλευση.
Επιπλέον, η εταιρεία έχει διευρύνει τις δυνατότητες επεξεργασίας διαπιστευτηρίων σε GitHub Actions και Azure Pipelines για να αυξήσει τον αριθμό των αναγνωρίσιμων βασικών μοτίβων μέσα στα αρχεία καταγραφής build και να τα θολώσει.
Με τη νέα ενημέρωση ικανοτήτων επεξεργασίας, ο Ρέντμοντ λέει ότι τα κλειδιά που έχουν εκδοθεί από τη Microsoft θα εντοπιστούν πριν διαρρεύσουν ακούσια σε δημόσια προσβάσιμα αρχεία καταγραφής.
“Λάβετε υπόψη ότι τα μοτίβα προς επεξεργασία δεν είναι προς το παρόν ολοκληρωμένα και ενδέχεται να δείτε πρόσθετες μεταβλητές και δεδομένα καλυμμένα στην έξοδο και αρχεία καταγραφής που δεν έχουν οριστεί ως μυστικά”, δήλωσε η εταιρεία.
“Η Microsoft διερευνά συνεχώς τρόπους βελτιστοποίησης και επέκτασης αυτής της προστασίας ώστε να περιλαμβάνει ένα ισχυρό μοτίβο πιθανών μυστικών.”
VIA:
bleepingcomputer.com