Uit nieuw onderzoek op het gebied van cyberbeveiliging is gebleken dat opdrachtregelinterfacetools (CLI) van Amazon Web Services (AWS) en Google Cloud gevoelige inloggegevens in buildlogs kunnen vrijgeven, wat aanzienlijke risico's voor organisaties met zich meebrengt.
De kwetsbaarheid heeft een codenaam gekregen LekkendeCLI door cloudbeveiligingsbedrijf Orca.
“Sommige opdrachten op Azure CLI, AWS CLI en Google Cloud CLI kunnen gevoelige informatie blootleggen in de vorm van omgevingsvariabelen, die door kwaadwillenden kunnen worden verzameld wanneer ze worden gepubliceerd door tools zoals GitHub Actions”, zegt beveiligingsonderzoeker Roi Nisimi in een gedeeld rapport. met The HackerNews.
Microsoft heeft het probleem sindsdien aangepakt als onderdeel van beveiligingsupdates die in november 2023 zijn uitgebracht en heeft het de CVE-identificatiecode CVE-2023-36052 (CVSS-score: 8,6) toegewezen.
Het idee heeft in een notendop te maken met de manier waarop de CLI-opdrachten kunnen worden gebruikt om (vooraf) gedefinieerde omgevingsvariabelen weer te geven en uit te voeren naar logbestanden voor continue integratie en continue implementatie (CI/CD). Een lijst met dergelijke opdrachten voor AWS en Google Cloud is lager dan 0
- aws lambda get-functie-configuratie
- aws lambda get-functie
- aws lambda update-functie-configuratie
- aws lambda update-functiecode
- aws lambda publiceer-versie
- gcloud-functies implementeren
–set-env-vars - gcloud-functies implementeren
–update-env-vars - gcloud-functies implementeren
–remove-env-vars
Orca zei dat het verschillende projecten op GitHub heeft gevonden die onbedoeld toegangstokens en andere gevoelige gegevens lekten via Github Actions, CircleCI, TravisCI en Cloud Build-logboeken.
In tegenstelling tot Microsoft beschouwen zowel Amazon als Google dit echter als verwacht gedrag, waarbij organisaties stappen moeten ondernemen om te voorkomen dat geheimen in omgevingsvariabelen worden opgeslagen en in plaats daarvan een speciale dienst voor het opslaan van geheimen moeten gebruiken, zoals AWS Secrets Manager of Google Cloud Secret Manager.
Google raadt ook het gebruik van de optie “–no-user-output-enabled” aan om het afdrukken van opdrachtuitvoer naar standaarduitvoer en standaardfouten in de terminal te onderdrukken.
“Als slechte actoren deze omgevingsvariabelen in handen krijgen, kan dit mogelijk leiden tot het inzien van gevoelige informatie, waaronder inloggegevens, zoals wachtwoorden, gebruikersnamen en sleutels, waardoor ze toegang kunnen krijgen tot alle bronnen die de repository-eigenaren kunnen”, zegt Nisimi. .
“Van CLI-opdrachten wordt standaard aangenomen dat ze in een beveiligde omgeving worden uitgevoerd, maar in combinatie met CI/CD-pijplijnen kunnen ze een veiligheidsrisico vormen.”
