Sommario
Microsoft ha recentemente corretto una grave vulnerabilità di sicurezza in Azure CLI (interfaccia a riga di comando di Azure), che avrebbe potuto permettere agli aggressori di rubare credenziali dai log di GitHub Actions o Azure DevOps. Questa scoperta, rilevata dal ricercatore di sicurezza di Palo Alto Aviad Hahami, sottolinea l’importanza della sicurezza nelle operazioni di Continuous Integration e Continuous Deployment (CI/CD).
Vulnerabilità e impatto
La vulnerabilità, identificata come CVE-2023-36052, permetteva agli attaccanti di accedere in remoto ai contenuti in chiaro scritti da Azure CLI nei log CI/CD. “Un attaccante che sfrutta con successo questa vulnerabilità potrebbe recuperare password e nomi utente in chiaro dai file di log creati dai comandi CLI interessati e pubblicati da Azure DevOps e/o GitHub Actions,” spiega Microsoft. Gli utenti che hanno utilizzato i comandi CLI di Azure sono stati notificati attraverso il portale Azure.
Misure di sicurezza e Aggiornamenti
Microsoft consiglia agli utenti di aggiornare la loro versione di Azure CLI alla 2.53.1 o superiore per proteggersi dai rischi di questa vulnerabilità. Questo vale anche per i clienti con file di log creati utilizzando questi comandi tramite Azure DevOps e/o GitHub Actions. Inoltre, Microsoft ha implementato una nuova configurazione predefinita di Azure CLI per rafforzare le misure di sicurezza e prevenire la divulgazione accidentale di informazioni sensibili.
Passi consigliati per la Sicurezza
- Mantenere Azure CLI aggiornato all’ultima versione.
- Evitare di esporre l’output di Azure CLI nei log e/o in luoghi pubblicamente accessibili.
- Ruotare regolarmente chiavi e segreti.
- Rivedere la gestione dei segreti per i servizi Azure.
- Rivedere le migliori pratiche di GitHub per il rafforzamento della sicurezza in GitHub Actions.
- Impostare i repository GitHub su privato, a meno che non sia necessario renderli pubblici.
- Rivedere la guida per la sicurezza delle Azure Pipelines.
Nuove capacità di redazione delle credenziali
Microsoft ha ampliato le capacità di redazione delle credenziali in GitHub Actions e Azure Pipelines, aumentando il numero di modelli di chiavi riconoscibili nei log di costruzione e oscurandoli. Con questo aggiornamento, le chiavi emesse da Microsoft saranno rilevate prima di essere accidentalmente divulgate nei log pubblicamente accessibili.
Questa correzione da parte di Microsoft evidenzia l’importanza di mantenere aggiornati gli strumenti di sviluppo e di adottare pratiche di sicurezza rigorose, specialmente in ambienti CI/CD. Gli sviluppatori e i team IT sono incoraggiati a seguire le linee guida fornite per garantire la sicurezza dei loro processi e dati.
