Microsoft, saldırganların GitHub Eylemlerinden veya Azure CLI (Azure komut satırı arayüzünün kısaltması) kullanılarak oluşturulan Azure DevOps günlüklerinden kimlik bilgilerini çalmasına olanak verebilecek kritik bir güvenlik açığını düzeltti.
Güvenlik açığı (şu şekilde izlenir: CVE-2023-36052) güvenlik araştırmacıları tarafından Palo Alto’nun Prisma Bulutu ile rapor edildi.
Başarılı bir şekilde yararlanmanın, kimliği doğrulanmamış saldırganların Azure CLI tarafından Sürekli Entegrasyon ve Sürekli Dağıtım (CI/CD) günlüklerine yazılan düz metin içeriklerine uzaktan erişmesine olanak tanıdığını buldular.
Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, etkilenen CLI komutları tarafından oluşturulan ve Azure DevOps ve/veya GitHub Actions tarafından yayınlanan günlük dosyalarından düz metin parolalarını ve kullanıcı adlarını kurtarabilir” diye açıklıyor.
“Etkilenen CLI komutlarını kullanan müşterilerin, bu güvenlik açığının risklerine karşı korunmak için Azure CLI sürümlerini 2.53.1 veya üzeri bir sürüme güncellemeleri gerekir. Bu aynı zamanda Azure DevOps ve/veya GitHub Eylemleri aracılığıyla bu komutlar kullanılarak oluşturulan günlük dosyalarına sahip müşteriler için de geçerlidir. “
Microsoft, yakın zamanda Azure CLI komutlarını kullanan müşterilerin Azure Portal aracılığıyla bilgilendirildiğini söylüyor. Bugün yayınlanan bir MSRC blog gönderisinde Redmond, tüm müşterilere en son Azure CLI sürümüne (2.54) güncelleme yapmalarını tavsiye etti.
Ayrıca CI/CD günlüklerindeki gizli dizilerin yanlışlıkla açığa çıkmasını önlemek için aşağıdaki adımları izlemeleri de önerilir:
- Azure CLI’yi en son sürüme güncel tutun.
- Azure CLI çıktısını günlüklerde ve/veya genel olarak erişilebilen konumlarda açığa çıkarmaktan kaçının: Çıkış değerini gerektiren bir komut dosyası geliştiriyorsanız, komut dosyası için gereken özelliği filtreleyin (gözden geçirin) Çıkış biçimleriyle ilgili Azure CLI bilgileri ve önerilenleri uygulayın bir ortam değişkenini maskeleme kılavuzu).
- Anahtarları ve sırları düzenli olarak değiştirin. Genel bir en iyi uygulama olarak müşterilerin, anahtarları ve gizli dizileri, ortamları için en uygun tempoda düzenli olarak döndürmeleri teşvik edilir (Azure’de önemli ve gizli hususlara ilişkin rehberlik mevcuttur) Burada).
- Azure hizmetleri için gizli dizi yönetimine ilişkin kılavuzu inceleyin.
- GitHub Eylemlerinde güvenliği güçlendirmeye yönelik GitHub en iyi uygulamalarını inceleyin.
- Aksi takdirde herkese açık olması gerekmediği sürece GitHub depolarının özel olarak ayarlandığından emin olun.
- Azure Pipelines’ın güvenliğini sağlamaya yönelik kılavuzu inceleyin
Microsoft, hassas bilgilerin yanlışlıkla ifşa edilmesini önlemek amacıyla güvenlik önlemlerini desteklemek için yeni bir Azure CLI varsayılan yapılandırmasını uygulamaya koydu. Güncellenen ayar artık Web Uygulamaları ve İşlevler de dahil olmak üzere App Service ailesi içindeki hizmetlerle ilgili güncelleme komutları tarafından oluşturulan çıktıdaki gizli dizilerin sunumunu kısıtlıyor.
Ancak yeni varsayılan, en son Azure CLI sürümüne (2.53.1 ve üstü) güncellenen müşterilere sunulacaktır; önceki sürümler (2.53.0 ve altı) ise hâlâ kötüye kullanıma açık durumdadır.
Ayrıca şirket, derleme günlüklerindeki tanınabilir anahtar kalıpların sayısını artırmak ve bunları gizlemek için GitHub Eylemleri ve Azure Pipelines genelinde kimlik bilgileri düzenleme yeteneklerini genişletti.
Yeni redaksiyon yetenekleri güncellemesiyle Redmond, Microsoft tarafından verilen anahtarların, kamuya açık günlüklere yanlışlıkla sızdırılmadan önce tespit edileceğini söylüyor.
Şirket, “Düzeltilen kalıpların şu anda kapsamlı olmadığını ve çıktılarda ve günlüklerde gizli olarak ayarlanmayan ek değişkenler ve verileri maskelenmiş olarak görebileceğinizi unutmayın” dedi.
“Microsoft sürekli olarak bu korumayı optimize etmenin ve güçlü bir potansiyel sır modelini içerecek şekilde genişletmenin yollarını araştırıyor.”