Nghiên cứu an ninh mạng mới đã phát hiện ra rằng các công cụ giao diện dòng lệnh (CLI) từ Amazon Web Services (AWS) và Google Cloud có thể làm lộ thông tin xác thực nhạy cảm trong nhật ký xây dựng, gây ra rủi ro đáng kể cho các tổ chức.
Lỗ hổng đã được đặt tên mã là LeakyCLI bởi công ty bảo mật đám mây Orca.
"Một số lệnh trên Azure CLI, AWS CLI và Google Cloud CLI có thể tiết lộ thông tin nhạy cảm dưới dạng các biến môi trường, có thể được thu thập bởi đối thủ khi được xuất bản bởi các công cụ như GitHub Actions", nhà nghiên cứu bảo mật Roi Nisimi cho biết trong một báo cáo được chia sẻ với The Hacker News.
Kể từ đó, Microsoft đã giải quyết vấn đề này như một phần của các bản cập nhật bảo mật được phát hành vào tháng 11/2023, gán cho nó mã định danh CVE CVE-2023-36052 (điểm CVSS: 8,6).
Tóm lại, ý tưởng này liên quan đến cách các lệnh CLI như có thể được sử dụng để hiển thị các biến môi trường được xác định (trước) và xuất ra nhật ký Tích hợp liên tục và Triển khai liên tục (CI / CD). Danh sách các lệnh như vậy bao gồm AWS và Google Cloud dưới 0
- AWS Lambda Get-Function-Configuration
- Hàm nhận AWS Lambda
- AWS Lambda Update-Function-Configuration
- AWS Lambda Update-Function-Code
- Phiên bản xuất bản của AWS Lambda
- Các hàm gCloud triển khai <func> --set-env-vars
- Các hàm gCloud triển khai <func> --update-env-vars
- Các hàm gCloud triển khai <func> --remove-env-vars
Orca cho biết họ đã tìm thấy một số dự án trên GitHub vô tình làm rò rỉ mã thông báo truy cập và dữ liệu nhạy cảm khác thông qua nhật ký Github Actions, CircleCI, TravisCI và Cloud Build.
Google cũng khuyến nghị sử dụng tùy chọn "--no-user-output-enabled" để ngăn chặn việc in đầu ra lệnh thành đầu ra tiêu chuẩn và lỗi tiêu chuẩn trong thiết bị đầu cuối.
"Nếu những kẻ xấu chạm tay vào các biến môi trường này, điều này có khả năng dẫn đến việc xem thông tin nhạy cảm bao gồm thông tin đăng nhập, chẳng hạn như mật khẩu, tên người dùng và khóa, có thể cho phép họ truy cập bất kỳ tài nguyên nào mà chủ sở hữu kho lưu trữ có thể", Nisimi nói.
"Các lệnh CLI theo mặc định được giả định là đang chạy trong một môi trường an toàn, nhưng cùng với các đường ống CI / CD, chúng có thể gây ra mối đe dọa bảo mật."