ช่องโหว่ CRITICAL ใน Azure CLI อาจส่งผลให้ข้อมูลส่วนตัวถูกเปิดเผย

20 พฤศจิกายน 2566 | กนิษฐา พุ่มผล

Microsoft ประกาศแจ้งเตือนแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่อาจถูกนำไปใช้ประโยชน์ ทำให้ผู้โจมตีขโมยไฟล์บันทึกข้อมูลส่วนตัวที่ถูกสร้างโดยคำสั่งใน Azure CLI จาก GitHub Action และ/หรือ Azure DevOps ได้

ช่องโหว่ CVE-2023-36052 (CVSS:3.1 | 8.6) ถูกรายงานโดย Aviad Hahami นักวิจัยด้านความปลอดภัยของ Palo Alto พบว่าการใช้ประโยชน์จากช่องโหว่ดังกล่าว ช่วยให้ผู้โจมตีที่ไม่ได้ผ่านการตรวจสอบสิทธิ์ (Unauthenticated) สามารถเข้าถึงและทำการกู้คืน Username และ Passwords จากบันทึกไฟล์ Plain text ที่สร้างโดยคำสั่ง CLI ที่ได้รับผลกระทบ ซึ่งบันทึกไฟล์ดังกล่าวได้ถูกจัดเก็บไว้ที่ Azure DevOps และ/หรือ GitHub Actions

ระบบ หรือผลิตภัณฑ์ที่ได้รับผลกระทบ

Azure CLI เวอร์ชั่นต่ำกว่า 2.53.1

คำแนะนำ หรือแนวทางแก้ไข

คำแนะนำเพื่อป้องกันการเปิดเผยข้อมูลโดยไม่ตั้งใจจากบันทึก CI/CD:

ผู้ใช้งานที่ใช้คําสั่ง CLI ที่ได้รับผลกระทบควรอัปเดตเวอร์ชัน Azure CLI เป็น 2.53.1 ขึ้นไปหรือเวอร์ชันล่าสุด (2.54)
หลีกเลี่ยงการแสดงไฟล์บันทึก Output ของคำสั่ง Azure CLI หรือแสดงตำแน่ง path ที่เข้าถึงได้แบบสาธารณะ ซึ่งสามารถตรวจสอบข้อมูล Output จาก Azure CLI คลิก
หมั่นเปลี่ยน Password/Secrets key เป็นประจำ (คำแนะนำเกี่ยวกับการพิจารณาการกำหนด key ใน Azure คลิก
ตรวจสอบคําแนะนําเกี่ยวกับการจัดการข้อมูลที่เป็นความลับสําหรับบริการ Azure คลิก
ตรวจสอบแนวทางปฏิบัติที่ดีที่สุดใน GitHub สําหรับการป้องกันด้านความปลอดภัยของข้อมูลที่เป็นความลับ คลิก
ตรวจสอบให้แน่ใจว่าข้อมูลที่เป็นความลับจัดเก็บใน GitHub ที่ถูกตั้งค่าความเป็นส่วนตัว คลิก
ตรวจสอบคําแนะนําสําหรับการรักษาความปลอดภัยใน Azure Pipelines คลิก

อ้างอิง

Microsoft fixes critical Azure CLI flaw that leaked credentials in logs | Bleeping Computer
Azure CLI REST Command Information Disclosure Vulnerability | Microsoft
Microsoft guidance regarding credentials leaked to GitHub Actions Logs through Azure CLI | Microsoft

เมนู

ช่องโหว่ CRITICAL ใน Azure CLI อาจส่งผลให้ข้อมูลส่วนตัวถูกเปิดเผย

ระบบ หรือผลิตภัณฑ์ที่ได้รับผลกระทบ

คำแนะนำ หรือแนวทางแก้ไข

อ้างอิง

© 2024 — Cybertron Co., Ltd. All rights reserved.