يمكن لـ CVE-2023-36052 الكشف عن المعلومات السرية في السجلات العامة.
وبحسب ما ورد كان Azure CLI (واجهة سطر أوامر Azure) معرضًا لخطر كبير لكشف معلومات حساسة، بما في ذلك بيانات الاعتماد، عندما يتفاعل شخص ما مع سجلات إجراءات GitHub على النظام الأساسي، وفق أحدث بلوق وظيفة من مركز الاستجابة الأمنية لـ Microsoft.
تم إعلام MSRC بالثغرة الأمنية، والتي تسمى الآن CVE-2023-36052، من قبل باحث اكتشف أن التغيير والتبديل في Azure قد تؤدي أوامر CLI إلى إظهار البيانات الحساسة والمخرجات للتكامل المستمر والنشر المستمر (CI/CD) السجلات.
وهذه ليست المرة الأولى التي يكتشف فيها الباحثون أن منتجات مايكروسوفت معرضة للخطر. في وقت سابق من هذا العام، قام فريق من الباحثين بإعلام شركة Microsoft بأن تطبيق Teams موجود عرضة بشدة للبرامج الضارة الحديثة، بما في ذلك هجمات التصيد. منتجات مايكروسوفت ضعيفة للغاية أن 80% من حسابات Microsoft 365 قد تم اختراقها في عام 2022، وحيد.
كان تهديد الثغرة الأمنية CVE-2023-36052 بمثابة خطر كبير، مما دفع Microsoft إلى اتخاذ إجراءات على الفور عبر جميع الأنظمة الأساسية و منتجات Azure، بما في ذلك Azure Pipelines، وGitHub Actions، وAzure CLI، والبنية التحتية المحسنة لمقاومة مثل هذه الأمور بشكل أفضل التغيير والتبديل.
ردًا على تقرير Prisma، أجرت Microsoft العديد من التغييرات عبر منتجات مختلفة، بما في ذلك Azure Pipelines وGitHub Actions وAzure CLI، لتنفيذ تنقيح سري أكثر قوة. يسلط هذا الاكتشاف الضوء على الحاجة المتزايدة للمساعدة في ضمان عدم قيام العملاء بتسجيل المعلومات الحساسة في مسارات الريبو وCI/CD الخاصة بهم. إن تقليل المخاطر الأمنية هو مسؤولية مشتركة؛ أصدرت Microsoft تحديثًا لـ Azure CLI للمساعدة في منع ظهور الأسرار ومن المتوقع أن يكون العملاء استباقيين في اتخاذ الخطوات اللازمة لتأمين أعباء العمل الخاصة بهم.
مايكروسوفت
ما الذي يمكنك فعله لتجنب خطر فقدان المعلومات الحساسة بسبب الثغرة الأمنية CVE-2023-36052؟
يقول عملاق التكنولوجيا ومقره ريدموند أنه يجب على المستخدمين تحديث Azure CLI إلى الإصدار الأحدث (2.54) في أقرب وقت ممكن. بعد التحديث، تريد Microsoft أيضًا من المستخدمين اتباع هذا التوجيه:
- قم دائمًا بتحديث Azure CLI إلى الإصدار الأحدث لتلقي آخر التحديثات الأمنية.
- تجنب كشف مخرجات Azure CLI في السجلات و/أو المواقع التي يمكن الوصول إليها بشكل عام. في حالة تطوير برنامج نصي يتطلب قيمة الإخراج، تأكد من تصفية الخاصية المطلوبة للبرنامج النصي. من فضلك اعد النظر معلومات Azure CLI فيما يتعلق بتنسيقات الإخراج وتنفيذ الموصى بها لدينا إرشادات لإخفاء متغير البيئة.
- قم بتدوير المفاتيح والأسرار بانتظام. كأفضل ممارسة عامة، يتم تشجيع العملاء على تدوير المفاتيح والأسرار بانتظام وفقًا لإيقاع يناسب بيئتهم بشكل أفضل. راجع مقالتنا حول الاعتبارات الأساسية والسرية في Azure هنا.
- قم بمراجعة الإرشادات حول إدارة الأسرار لخدمات Azure.
- راجع أفضل ممارسات GitHub لتعزيز الأمان في إجراءات GitHub.
- تأكد من تعيين مستودعات GitHub على القطاع الخاص ما لم يلزم أن تكون عامة.
- قم بمراجعة الإرشادات الخاصة بتأمين خطوط أنابيب Azure.
ستقوم Microsoft بإجراء بعض التغييرات بعد اكتشاف الثغرة الأمنية CVE-2023-36052 على Azure CLI. وتقول الشركة إن أحد هذه التغييرات هو تنفيذ إعداد افتراضي جديد يمنع الحساسية المعلومات التي تم تصنيفها على أنها سرية بحيث لا يتم تقديمها في مخرجات أوامر الخدمات من Azure عائلة.
ومع ذلك، سيحتاج المستخدمون إلى التحديث إلى الإصدار 2.53.1 والإصدار الأحدث من Azure CLI، حيث لن يتم تنفيذ الإعداد الافتراضي الجديد على الإصدارات الأقدم.
تعمل شركة التكنولوجيا العملاقة ومقرها ريدموند أيضًا على توسيع إمكانات التنقيح في كل من GitHub Actions و Azure Pipelines للتعرف بشكل أفضل على أي مفاتيح صادرة عن Microsoft والتي يمكن كشفها للعامة والتقاطها بشكل أفضل السجلات.
إذا كنت تستخدم Azure CLI، فتأكد من تحديث النظام الأساسي إلى الإصدار الأحدث الآن لحماية جهازك ومؤسستك من الثغرة الأمنية CVE-2023-36052.
