Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה
תל אביב, 4 באפריל 2023, (GLOBE NEWSWIRE) :
Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה כי היא חשפה פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט. הפגיעות מאפשרת לתוקפים לנצל את שרתי ה-Azure DevOps של מיקרוסופט כדי ליזום התקפות על שרשרת האספקה של תוכנה ולהפעיל קוד זדוני שעלול לסכן את האבטחה והשלמות של מוצרי התוכנה של הארגון. לאור השימוש הנרחב ב-Azure Pipelines בפיתוח תוכנה, פגיעות זו מהווה סיכון משמעותי לעסקים המסתמכים על השירות כדי לספק את התוכנה שלהם. Legit Security עבדה בשיתוף פעולה הדוק עם Microsoft כדי לחשוף ולתקן את הפגיעות ומידע על הדרך למזער סיכונים ניתן למצוא בבלוג הגילוי הטכני של Legit Security.
הפגיעות מסוג ביצוע קוד מרחוק שהתגלתה בידי Legit Security קיבלה את הרישום CVE-2023-21553 ומשפיעה על Azure Pipelines, שירות אינטגרציה מתמשך ואספקה מתמשכת (CI/CD) פופולרי מאוד מבית מיקרוסופט. מערכות בניית תוכנה כגון Azure Pipelines הן הבסיס לתהליך פיתוח תוכנה והן אחראיות ליצירה ולהידור קוד למוצרי תוכנה, ולמיכון השחרור שלהם. פגיעויות בתוך מערכת הבנייה מסוכנות מאוד מאחר שתוקפים יכולים להחדיר קוד זדוני ולהדביק את מוצרי התוכנה המפותחים, ולהעביר אותם במורד הזרם ללקוחות.
הפגיעות שהתגלתה מקורה במנגנון פקודות הרישום של Azure Pipelines ומאפשרת לתוקפים לבצע קוד שעלול לפגוע ישירות באבטחה ובשלמות של התוכנות המועברות ללקוחות. בנוסף יכולים התוקפים למנף את הפגיעות הזו כדי לגשת לסודות רגישים הכלולים בצינור התוכנה, כגון סיסמאות למשאבים רגישים ומפתחות גישה לשירותי ענן, כדי ליזום התקפות רוחביות ולסכן את הארגון עוד יותר. כתוצאה מכך, לפגיעות זו עלולה להיות השלכות הרסניות, אם לא תטופל, בעסקים המסתמכים על Azure Pipelines כדי לבנות ולפרוס את התוכנה שלהם.
"צינורות בניית תוכנה הם חלק קריטי בשרשרת האספקה של התוכנה, ופגיעויות בתוכם יכולות לאפשר הזרקת קוד זדוני ושיבוש קוד בדומה למתקפת SolarWinds הידועה לשמצה", אמר ליאב כספי, מנהל הטכנולוגיה הראשי ומייסד שותף של Legit Security. "יצרני תוכנה צריכים להיות ערניים בהגנה על שרשרת אספקת התוכנה שלהם, הכוללת אבטחת צינורות בנייה וטיפול בנקודות תורפה כמו זו שגילינו ב-Azure Pipelines של מיקרוסופט".
Legit Security עבדה בשיתוף פעולה הדוק עם מיקרוסופט כדי לטפל בפגיעות, ופורסם תיקון שמאפשר להקטין את הסיכון. משתמשים עם גרסה לא מעודכנת של Azure DevOps Server עלולים להישאר פגיעים, ומשתמשים בגרסה המקומית (ADO Server גרסה 2020.1.2 ומטה) צריכים להחיל את התיקון בהקדם האפשרי. יש לציין שלא כל צינור ב-Azure Pipelines פגיע, וזה תלוי בתכונות ובתבניות פקודות הרישום בהם משתמשים. מומלץ מאוד לארגונים המשתמשים ב-Azure Pipelines לעיין בבלוג הגילוי הטכני של Legit Security כדי לקבוע אם הם מושפעים וכדי למזער את הסיכונים.
אודות Legit Security
Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.
קשרי מדיה
Tony Keller
[email protected]
*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GlobeNewswire
חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים