Microsoft a corrigé une vulnérabilité de sécurité critique qui pourrait permettre aux attaquants de voler les informations d’identification des journaux GitHub Actions ou Azure DevOps créés à l’aide d’Azure CLI (abréviation de Azure command-line interface).

La vulnérabilité (suivie comme CVE-2023-36052) a été signalée par Aviad Hahami, chercheur en sécurité à Palo Alto, qui a découvert qu’une exploitation réussie permet à des attaquants non authentifiés d’accéder à distance au contenu en texte brut écrit par Azure CLI pour l’intégration et le déploiement continus (CI/CD). journaux.

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait récupérer les mots de passe et les noms d’utilisateur en clair à partir des fichiers journaux créés par les commandes CLI concernées et publiés par Azure DevOps et/ou GitHub Actions », explique Microsoft.

« Les clients utilisant les commandes CLI concernées doivent mettre à jour leur version Azure CLI vers la version 2.53.1 ou supérieure pour être protégés contre les risques de cette vulnérabilité. Cela s’applique également aux clients dont les fichiers journaux sont créés à l’aide de ces commandes via Azure DevOps et/ou GitHub Actions. « .

Microsoft indique que les clients qui ont récemment utilisé les commandes Azure CLI ont été informés via le portail Azure. Dans un article de blog MSRC publié aujourd’hui, Redmond a conseillé à tous les clients de mettre à jour vers la dernière version d’Azure CLI (2.54).

Il leur est également recommandé de suivre les étapes suivantes pour éviter toute exposition accidentelle de secrets dans les journaux CI/CD :

  1. Gardez Azure CLI à jour avec la dernière version.
  2. Évitez d’exposer la sortie Azure CLI dans les journaux et/ou dans des emplacements accessibles au public : si vous développez un script qui nécessite la valeur de sortie, filtrez la propriété nécessaire au script (consultez les informations Azure CLI concernant les formats de sortie et mettez en œuvre les conseils recommandés pour masquer une variable d’environnement). .
  3. Faites régulièrement pivoter les clés et les secrets. En tant que bonne pratique générale, les clients sont encouragés à alterner régulièrement les clés et les secrets selon la cadence qui convient le mieux à leur environnement (des conseils sur les considérations relatives aux clés et aux secrets dans Azure sont disponibles ici).
  4. Consultez les instructions relatives à la gestion des secrets pour les services Azure.
  5. Consultez les bonnes pratiques GitHub pour le renforcement de la sécurité dans GitHub Actions.
  6. Assurez-vous que les référentiels GitHub sont définis comme privés, sauf s’ils doivent être publics.
  7. Consultez les conseils pour sécuriser Azure Pipelines

Microsoft a implémenté une nouvelle configuration par défaut d’Azure CLI pour renforcer les mesures de sécurité, visant à empêcher la divulgation accidentelle d’informations sensibles. Le paramètre mis à jour restreint désormais la présentation des secrets dans la sortie générée par les commandes de mise à jour concernant les services de la famille App Service, y compris les applications et fonctions Web.

Cependant, la nouvelle valeur par défaut sera déployée auprès des clients qui ont mis à jour vers la dernière version d’Azure CLI (2.53.1 et supérieure), tandis que les versions antérieures (2.53.0 et inférieures) sont toujours vulnérables à l’exploitation.

En outre, la société a élargi les capacités de rédaction des informations d’identification dans GitHub Actions et Azure Pipelines pour augmenter le nombre de modèles de clés reconnaissables dans les journaux de build et les masquer.

Avec la nouvelle mise à jour des capacités de rédaction, Redmond affirme que les clés émises par Microsoft seront détectées avant d’être divulguées par inadvertance dans des journaux accessibles au public.

« En évitant de faire écho aux secrets, la nouvelle version empêche les fuites dans les journaux du pipeline CI, les machines des développeurs et les agrégateurs de journaux », a déclaré Hahami.

« Nous vous recommandons de mettre à jour les versions d’Azure CLI utilisées dans les exécuteurs CI et les machines des développeurs vers la version 2.54, pour vous assurer qu’aucun secret n’est imprimé dans les journaux. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *