image

Microsoft Azure CLI lekt plaintext wachtwoorden via logbestanden

woensdag 15 november 2023, 15:23 door Redactie, 6 reacties

Een kwetsbaarheid in de Microsoft Azure Command-Line Interface (CLI) maakt het mogelijk voor aanvallers om wachtwoorden en inloggegevens via logbestanden te stelen. Microsoft heeft een update uitgebracht om het probleem te verhelpen. De Azure command-line interface is een verzameling commando's voor het creëren en beheren van Azure resources en wordt onder andere voor softwareontwikkeling gebruikt.

Bij sommige van de commando's die de Azure CLI uitvoert worden inloggegevens plaintext in logbestanden opgeslagen. In het geval de logs in 'open source repositories' zijn opgeslagen kan een aanvaller zo gebruikersnamen en wachtwoorden van gebruikers achterhalen. Ook bij afgeschermde repositories waarbij een aanvaller bijvoorbeeld minimale leesrechten heeft is dit mogelijk. "Vanwege de data die ze opslaan en workloads die ze uitvoeren, behoren Continuous Integration and Continuous Deployment (CI/CD) systemen door de belangrijkste en gevoeligste in je organisatie", aldus Aviad Hahami van securitybedrijf Palo Alto Networks die het probleem ontdekte.

Volgens Microsoft gaat het hier om een kritieke kwetsbaarheid, aangeduid als CVE-2023-36052. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 8.6. Organisaties worden door Microsoft opgeroepen om te updaten naar Azure CLI versie 2.54 en gegeven advies op te volgen om te voorkomen dat inloggegevens onbedoeld in logbestanden voor CI/CD-omgevingen verschijnen.

Reacties (6)
15-11-2023, 16:55 door Anoniem
Vraag me af hoeveel bedrijven hier slachtoffer van zijn. Het is nu bij azure maar vast ook bij andere cloud providers waar dat kan.
16-11-2023, 04:01 door Anoniem
Het is 2023 en je bent een van de grootste bedrijven in de tech-sector...... hoe kun je dit dan uitbrengen zonder dat developers of testers dit opmerken? Het gaat niet om hobby Bob die op zijn zolderkamer iets in elkaar zet en zelfs hij zal het wellicht nog beter doen. Zelfs als amateur bughunter heb je dit als low hanging fruit in je test-cases zitten.
16-11-2023, 08:34 door karma4
Door Anoniem: Vraag me af hoeveel bedrijven hier slachtoffer van zijn. Het is nu bij azure maar vast ook bij andere cloud providers waar dat kan.
Vrijwel gegarandeerd cloud en html is een slechte combinatie om iets echt veilig neer te zetten.
Er is geen ondergrond vanuit het operatingsysteem waarop gebouwd kan worden.
16-11-2023, 12:56 door Anoniem
Door Anoniem: Het is 2023 en je bent een van de grootste bedrijven in de tech-sector...... hoe kun je dit dan uitbrengen zonder dat developers of testers dit opmerken? Het gaat niet om hobby Bob die op zijn zolderkamer iets in elkaar zet en zelfs hij zal het wellicht nog beter doen. Zelfs als amateur bughunter heb je dit als low hanging fruit in je test-cases zitten.
Omdat er zo weinig in logfiles wordt gekeken natuurlijk. De uitkomst is natuurlijk rampzalig en het laat zien dat het ontwerp kwa veiligheid zwaar onder de maat is. Ik werk al 30 jaar met een CLI omgeving maar dit heb ik nog nooit meegemaakt.
Hoe zo worden de logs in 'open source repositories' opgeslagen? Wat is dit voor onzin. Daar zijn repo's niet voor bedoeld.
16-11-2023, 21:11 door Password1234
Door Anoniem 12:56:
Hoe zo worden de logs in 'open source repositories' opgeslagen? Wat is dit voor onzin. Daar zijn repo's niet voor bedoeld.
Ik snap dit ook niet. Wordt hier wellicht bedoeld: Het gebruik van AzCLI binnen GitHub Actions waarbij logs van IntegratieTests van publieke repos terug te lezen is?
Eerder dit jaar waren ze al een master private key kwijt, stonden er meerdere terabytes aan backups van 2 werkstations van AI ontwikkelaars volledig online (al een paar jaar zelfs) en hebben we een flinke lijst aan 0-day kwetsbaarheden gezien in ondermeer Exchange.
En dan nu dit weer.
Bill Gates schijnt ooit geroepen te hebben dat security niet belangrijk was, zit dat dan nochsteeds in het DNA van Mickysoft?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.