דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה
Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה
חיים נוי 06/04/23 |  צפיות: 293

Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה

תל אביב, 4 באפריל 2023, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה כי היא חשפה פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט. הפגיעות מאפשרת לתוקפים לנצל את שרתי ה-Azure DevOps של מיקרוסופט כדי ליזום התקפות על שרשרת האספקה ​​של תוכנה ולהפעיל קוד זדוני שעלול לסכן את האבטחה והשלמות של מוצרי התוכנה של הארגון. לאור השימוש הנרחב ב-Azure Pipelines בפיתוח תוכנה, פגיעות זו מהווה סיכון משמעותי לעסקים המסתמכים על השירות כדי לספק את התוכנה שלהם. Legit Security עבדה בשיתוף פעולה הדוק עם Microsoft כדי לחשוף ולתקן את הפגיעות ומידע על הדרך למזער סיכונים ניתן למצוא בבלוג הגילוי הטכני של Legit Security.

הפגיעות מסוג ביצוע קוד מרחוק שהתגלתה בידי Legit Security קיבלה את הרישום CVE-2023-21553 ומשפיעה על Azure Pipelines, שירות אינטגרציה מתמשך ואספקה ​​מתמשכת (CI/CD) פופולרי מאוד מבית מיקרוסופט. מערכות בניית תוכנה כגון Azure Pipelines הן הבסיס לתהליך פיתוח תוכנה והן אחראיות ליצירה ולהידור קוד למוצרי תוכנה, ולמיכון השחרור שלהם. פגיעויות בתוך מערכת הבנייה מסוכנות מאוד מאחר שתוקפים יכולים להחדיר קוד זדוני ולהדביק את מוצרי התוכנה המפותחים, ולהעביר אותם במורד הזרם ללקוחות.

הפגיעות שהתגלתה מקורה במנגנון פקודות הרישום של Azure Pipelines ומאפשרת לתוקפים לבצע קוד שעלול לפגוע ישירות באבטחה ובשלמות של התוכנות המועברות ללקוחות. בנוסף יכולים התוקפים למנף את הפגיעות הזו כדי לגשת לסודות רגישים הכלולים בצינור התוכנה, כגון סיסמאות למשאבים רגישים ומפתחות גישה לשירותי ענן, כדי ליזום התקפות רוחביות ולסכן את הארגון עוד יותר. כתוצאה מכך, לפגיעות זו עלולה להיות השלכות הרסניות, אם לא תטופל, בעסקים המסתמכים על Azure Pipelines כדי לבנות ולפרוס את התוכנה שלהם.

"צינורות בניית תוכנה הם חלק קריטי בשרשרת האספקה ​​של התוכנה, ופגיעויות בתוכם יכולות לאפשר הזרקת קוד זדוני ושיבוש קוד בדומה למתקפת SolarWinds הידועה לשמצה", אמר ליאב כספי, מנהל הטכנולוגיה הראשי ומייסד שותף של Legit Security. "יצרני תוכנה צריכים להיות ערניים בהגנה על שרשרת אספקת התוכנה שלהם, הכוללת אבטחת צינורות בנייה וטיפול בנקודות תורפה כמו זו שגילינו ב-Azure Pipelines של מיקרוסופט".

Legit Security עבדה בשיתוף פעולה הדוק עם מיקרוסופט כדי לטפל בפגיעות, ופורסם תיקון שמאפשר להקטין את הסיכון. משתמשים עם גרסה לא מעודכנת של Azure DevOps Server עלולים להישאר פגיעים, ומשתמשים בגרסה המקומית (ADO Server גרסה 2020.1.2 ומטה) צריכים להחיל את התיקון בהקדם האפשרי. יש לציין שלא כל צינור ב-Azure Pipelines פגיע, וזה תלוי בתכונות ובתבניות פקודות הרישום בהם משתמשים. מומלץ מאוד לארגונים המשתמשים ב-Azure Pipelines לעיין בבלוג הגילוי הטכני של Legit Security כדי לקבוע אם הם מושפעים וכדי למזער את הסיכונים.


אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GlobeNewswire


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
Kolmar BNH מחוללת מהפכה ב-ESG עם HemoHIM, תוסף בריאות ידידותי לסביבה
Kolmar BNH KRX: 200130)), יצרנית מובילה ומפתחת של מזון פונקציונלי מקורי מקוריאה (ODM), עומדת בחזית ניהול הסביבה, החברה והפיקוח (ESG) באמצעות מחקר ופיתוח (R&D) עם מודעות לסביבה.

CGS ממנה את ג'ון סמואל לתפקיד מנהל תפעול ראשי כדי לשפר עוד יותר את שירות הלקוחות ולהניע מצוינות תפעולית
Computer Generated Solutions, Inc. (CGS), ספקית גלובלית של יישומי תוכנה, למידה ארגונית, חוויית לקוח ושירותי מיקור חוץ של תהליכים עסקיים, הודיעה היום כי ג'ון סמואל (John Samuel ) קודם לתפקיד מנהל תפעול ראשי (COO).

רוזן, יועץ למשקיעים גלובלי, מעודד את משקיעי ASML Holding N.V. לקבל ייעוץ
רוזן, יועץ למשקיעים גלובלי, מעודד את משקיעי ASML Holding N.V. לקבל ייעוץ לפני מועד חשוב בתביעה ייצוגית בניירות ערך – ASML

היום המועד הסופי לתביעה נגד LLAP: רוזן, יועץ למשקיעים ידוע, מעודד את משקיעי Terran Orbital Corporation לקבל ייעוץ
היום המועד הסופי לתביעה נגד LLAP: רוזן, יועץ למשקיעים ידוע, מעודד את משקיעי Terran Orbital Corporation לקבל ייעוץ לפני התאריך החשוב של 26 בנובמבר בתביעה ייצוגית בניירות ערך – LLAP

התראת דד-ליין למשקיעי ELAN: רוזן, משרד עורכי דין ותיק, מעודד את המשקיעים ב- Elanco Animal Health Incorporated לקבל ייעוץ
התראת דד-ליין למשקיעי ELAN: רוזן, משרד עורכי דין ותיק, מעודד את המשקיעים ב- Elanco Animal Health Incorporated לקבל ייעוץ לפני תאריך יעד חשוב של 6 בדצמבר בתביעה ייצוגית בניירות ערך – ELAN

היום הוא המועד לתביעה נגד MGX: רוזן, פירמת עורכי דין מהשורה הראשונה, מעודדת את משקיעי Metagenomi, Inc לקבל ייעוץ
היום הוא המועד לתביעה נגד MGX: רוזן, פירמת עורכי דין מהשורה הראשונה, מעודדת את משקיעי Metagenomi, Inc לקבל ייעוץ לפני התאריך החשוב היום 25 בנובמבר בתביעה ייצוגית בניירות ערך – MGX

כש-ChatGPT מציין שנתיים, בתי ספר לעסקים נחושים להעצים את שילוב הבינה המלאכותית בכיתות הלימוד
הסקר של GMAC מראה שלרוב התוכניות העסקיות יש כיום תוכניות לימודים המתמקדות בבינה מלאכותית

כש-ChatGPT מציין שנתיים, בתי ספר לעסקים נחושים להעצים את שילוב הבינה המלאכותית בכיתות הלימוד
הסקר של GMAC מראה שלרוב התוכניות העסקיות יש כיום תוכניות לימודים המתמקדות בבינה מלאכותית

Bitget מציעה כרטיסים למשחק LALIGA EA SPORTS למשתמשי Bitget Pay
Bitget , בורסת המטבעות הקריפטוגרפים וחברת ה-Web3 המובילה בעולם, הכריזה על מסע פרסום שמציע למשתמשים שלה הזדמנות לקבל כרטיס כניסה למשחק LALIGA EA SPORTS על ידי מינוף המוצר Bitget Pay של הפלטפורמה. החל מה-21 בנובמבר בשעה 18:00 עד ה-22 בנובמבר בשעה 18:00 (UTC+8), מטרת הקמפיין היא להציע פעילויות שתוכננו במסגרת השותפות Bitget x LALIGA כדי לקדם את השילוב בין העולם קריפטוגרפי וספורט, במיוחד ברחבי דרום אמריקה, מזרח אירופה, חבר המדינות, ודרום מזרח אסיה.

התראת תאריך יעד לתביעה נגד BMBL: רוזן, משרד עורכי דין מהשורה הראשונה, מעודדים את משקיעי Bumble Inc להשיג ייעוץ
התראת תאריך יעד לתביעה נגד BMBL: רוזן, משרד עורכי דין מהשורה הראשונה, מעודדים את משקיעי Bumble Inc להשיג ייעוץ לפני המועד החשוב של 25 בנובמבר בתביעה ייצוגית בניירות ערך – BMBL
     
 
שיווק באינטרנט על ידי WSI