Microsoft, saldırganların GitHub Eylemleri veya Azure CLI (Azure komut satırı arabirimi için kısa) kullanılarak oluşturulan Azure DevOps günlüklerinden kimlik bilgilerini çalmasına izin verebilecek kritik bir güvenlik açığı düzeltti.
Güvenlik açığı (CVE-2023-36052 olarak izlendi) Palo Alto Güvenlik Araştırmacısı Aviad Hami tarafından, başarılı sömürünün, kimlik doğrulanmamış saldırganların Azure Cli tarafından yazılan düz metin içeriğine sürekli entegrasyon ve sürekli dağıtıma (CI/CD) uzaktan erişmesini sağladığını tespit etti. kütükler.
Microsoft, "Bu güvenlik açığını başarıyla kullanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub eylemleri tarafından yayınlanan günlük dosyalarından düz metin şifrelerini ve kullanıcı adlarını kurtarabilir."
"Etkilenen CLI komutlarını kullanan müşteriler, bu güvenlik açığının risklerine karşı korunmak için Azure CLI sürümlerini 2.53.1 veya üstüne güncellemelidir. . "
Microsoft, yakın zamanda Azure CLI komutlarını kullanan müşterilerin Azure portalı üzerinden bilgilendirildiğini söylüyor. Bugün yayınlanan bir MSRC blog yayınında Redmond, tüm müşterilere en son Azure CLI sürümüne (2.54) güncellenmesini tavsiye etti.
Ayrıca, CI/CD kütükleri içindeki sırların kazara maruz kalmasını önlemek için aşağıdaki adımlardan geçmeleri önerilir:
Microsoft, hassas bilgilerin yanlışlıkla ifşa edilmesini önlemeyi amaçlayan güvenlik önlemlerini desteklemek için yeni bir Azure CLI varsayılan yapılandırması uyguladı. Güncellenmiş ayar artık Web Uygulamaları ve işlevleri de dahil olmak üzere Uygulama Hizmeti ailesindeki hizmetlerle ilgili güncelleme komutları tarafından oluşturulan çıktıdaki sırların sunumunu kısıtlamaktadır.
Bununla birlikte, yeni varsayılan, en son Azure CLI sürümüne (2.53.1 ve daha yüksek) güncellenen müşterilere sunulurken, önceki sürümler (2.53.0 ve daha düşük) sömürüye karşı savunmasızdır.
Ayrıca şirket, GitHub eylemleri ve Azure boru hatları arasındaki kimlik bilgisi redaksiyon özelliklerini genişletmiştir ve derleme günlüklerinde tanınan anahtar kalıpların sayısını artırmak ve bunları gizlemektedir.
Yeni Redaksiyon Yetenekleri güncellemesiyle Redmond, Microsoft tarafından verilen anahtarların kamuya açık günlüklerde yanlışlıkla sızdırılmadan önce tespit edileceğini söylüyor.
Hami, "Yeni sürüm yankılanan sırlardan kaçınarak CI boru hattı günlüklerinde, geliştiricilerin makinelerinde ve günlük toplayıcılarında sızıntıyı önler." Dedi.
Diyerek şöyle devam etti: "Kütüklere hiçbir sır basılmadığından emin olmak için CI koşucuları ve geliştiricilerin makinelerinde kullanılan Azure CLI sürümlerini 2.54'e güncellemenizi öneririz."
Yeni Microsoft Exchange Zero-Days RCE, Veri Hırsızlığı Saldırılarına İzin Veriyor
Microsoft Kasım 2023 Patch Salı 5 sıfır gün, 58 kusur düzeltiyor
Microsoft: Clop Fidye Yazılımı Saldırılarında Suro Sıralı Gün Kusurlu
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Microsoft: Eylül ayından bu yana Confluence Zero Day'den yararlanan eyalet hackerları
Kaynak: Bleeping Computer