דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה
Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה
חיים נוי 06/04/23 |  צפיות: 288

Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה

תל אביב, 4 באפריל 2023, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה כי היא חשפה פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט. הפגיעות מאפשרת לתוקפים לנצל את שרתי ה-Azure DevOps של מיקרוסופט כדי ליזום התקפות על שרשרת האספקה ​​של תוכנה ולהפעיל קוד זדוני שעלול לסכן את האבטחה והשלמות של מוצרי התוכנה של הארגון. לאור השימוש הנרחב ב-Azure Pipelines בפיתוח תוכנה, פגיעות זו מהווה סיכון משמעותי לעסקים המסתמכים על השירות כדי לספק את התוכנה שלהם. Legit Security עבדה בשיתוף פעולה הדוק עם Microsoft כדי לחשוף ולתקן את הפגיעות ומידע על הדרך למזער סיכונים ניתן למצוא בבלוג הגילוי הטכני של Legit Security.

הפגיעות מסוג ביצוע קוד מרחוק שהתגלתה בידי Legit Security קיבלה את הרישום CVE-2023-21553 ומשפיעה על Azure Pipelines, שירות אינטגרציה מתמשך ואספקה ​​מתמשכת (CI/CD) פופולרי מאוד מבית מיקרוסופט. מערכות בניית תוכנה כגון Azure Pipelines הן הבסיס לתהליך פיתוח תוכנה והן אחראיות ליצירה ולהידור קוד למוצרי תוכנה, ולמיכון השחרור שלהם. פגיעויות בתוך מערכת הבנייה מסוכנות מאוד מאחר שתוקפים יכולים להחדיר קוד זדוני ולהדביק את מוצרי התוכנה המפותחים, ולהעביר אותם במורד הזרם ללקוחות.

הפגיעות שהתגלתה מקורה במנגנון פקודות הרישום של Azure Pipelines ומאפשרת לתוקפים לבצע קוד שעלול לפגוע ישירות באבטחה ובשלמות של התוכנות המועברות ללקוחות. בנוסף יכולים התוקפים למנף את הפגיעות הזו כדי לגשת לסודות רגישים הכלולים בצינור התוכנה, כגון סיסמאות למשאבים רגישים ומפתחות גישה לשירותי ענן, כדי ליזום התקפות רוחביות ולסכן את הארגון עוד יותר. כתוצאה מכך, לפגיעות זו עלולה להיות השלכות הרסניות, אם לא תטופל, בעסקים המסתמכים על Azure Pipelines כדי לבנות ולפרוס את התוכנה שלהם.

"צינורות בניית תוכנה הם חלק קריטי בשרשרת האספקה ​​של התוכנה, ופגיעויות בתוכם יכולות לאפשר הזרקת קוד זדוני ושיבוש קוד בדומה למתקפת SolarWinds הידועה לשמצה", אמר ליאב כספי, מנהל הטכנולוגיה הראשי ומייסד שותף של Legit Security. "יצרני תוכנה צריכים להיות ערניים בהגנה על שרשרת אספקת התוכנה שלהם, הכוללת אבטחת צינורות בנייה וטיפול בנקודות תורפה כמו זו שגילינו ב-Azure Pipelines של מיקרוסופט".

Legit Security עבדה בשיתוף פעולה הדוק עם מיקרוסופט כדי לטפל בפגיעות, ופורסם תיקון שמאפשר להקטין את הסיכון. משתמשים עם גרסה לא מעודכנת של Azure DevOps Server עלולים להישאר פגיעים, ומשתמשים בגרסה המקומית (ADO Server גרסה 2020.1.2 ומטה) צריכים להחיל את התיקון בהקדם האפשרי. יש לציין שלא כל צינור ב-Azure Pipelines פגיע, וזה תלוי בתכונות ובתבניות פקודות הרישום בהם משתמשים. מומלץ מאוד לארגונים המשתמשים ב-Azure Pipelines לעיין בבלוג הגילוי הטכני של Legit Security כדי לקבוע אם הם מושפעים וכדי למזער את הסיכונים.


אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GlobeNewswire


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
רוזן, משרד עורכי דין ותיק, מעודד את משקיעי Acadia Healthcare Company, Inc לקבל ייעוץ
רוזן, משרד עורכי דין ותיק, מעודד את משקיעי Acadia Healthcare Company, Inc לקבל ייעוץ לפני מועד חשוב בתביעה ייצוגית בניירות ערך שהוגשה לראשונה על ידי המשרד – ACHC

מועד אחרון לתביעה נגד ALLER: רוזן, יועץ למשקיעים המדורג ראשון, מעודד את משקיעי Allarity Therapeutics, Inc להבטיח ייעוץ
מועד אחרון לתביעה נגד ALLER: רוזן, יועץ למשקיעים המדורג ראשון, מעודד את משקיעי Allarity Therapeutics, Inc להבטיח ייעוץ לפני תאריך יעד חשוב של 12 בנובמבר בתביעה ייצוגית בניירות ערך – ALLR

אייזסקרין וסקוטרוניק חתמו על הסכם מפיצים בתערוכת Intersec 2024 בנוכחות שרת הכלכלה והדיגיטל האוסטרית לשעבר מרגרטה שרמבאוק
אייזסקרין (easescreen), חברה בינלאומית מובילה בתחום פתרונות שילוט דיגיטלי, שמחה להודיע על חתימת הסכם הפצה עם סקוטרוניק (Secutronic), ספקית מובילה של שירותי אבטחה ואינטגרציה טכנולוגית. ההסכם נחתם בתערוכתIntersec , תערוכת הבטיחות, האבטחה וההגנה מפני אש המובילה בעולם, המתקיימת בריאד.

Bitget Wallet Lite הגיע ל-6 מיליון משתמשים במספר ימים בלבד, והוא כעת הארנק הגדול ביותר ב-Telegram
Bitget Wallet, ארנק Web3 המוביל ללא משמורת, השיק את Bitget Wallet Lite, ארנק מרובה רשתות בלוקצ'יין המשתלב ב-Telegram ומציע למשתמשים דרך חלקה ומאובטחת לרכוש, לנהל ולהעביר נכסים קריפטוטגרפים ישירות בתוך אפליקציית העברת הודעות המיידיות.

מעצבים את כוח העבודה של העתיד: קבוצת Talent Fourth Generation (TFG) משיקה את שוק הטאלנטים הראשון והגדול ביותר במזרח התיכון ובצפון אפריקה
בתגובה לשיבוש ההולך וגדל של תעשיית 4.0 השיקה קבוצת Talent Fourth Generation (TFG) באופן רשמי את שוק הטאלנטים הראשון והגדל ביותר באזור התיכון וצפון אפריקה, המעניק לעסקים את הכלים והאסטרטגיות הרלוונטיים לצרכי הטאלנטים על מנת לאפשר להם לשגשג בכלכלה הדיגיטלית המתפתחת.

Pangea משיקה שני חומרים מתקדמים חדשים
Pulvera & Verita מציעות יוקרה מובילה בתעשייה עם השפעה מופחתת על הסביבה

Nyxoah ממנה את ג'ון לנדרי למנהל כספים ראשי
Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) ("Nyxoah" או "החברה"), חברת טכנולוגיות רפואיות שמתמקדת בפיתוח ומסחור של פתרונות ושירותים חדשניים לדום נשימה בשינה (OSA) באמצעות נוירומודולציה, הודיעה היום על מינויו של ג'ון לנדרי למנהל כספים ראשי (CFO), החל מה-4 בנובמבר 2024.

התפתחות המותג החדש של בומברדייה זכתה בשני פרסי Red Dot עבור מצוינות בעיצוב המותג
*התפתחות המותג החדש של Bombardier זכתה בפרס Red Dot: Best of Best, כשהלוגו החדש, Bombardier Mach, קיבל את התג הבינלאומי הכה מבוקש Red Dot

teamLab Planets בטוקיו מתרחב משמעותית: "יער אתלטי" מסיבי ועוד מתוכננים להיפתח ב-22 בינואר, 2025
הפרויקטים החינוכיים "היער האתלטי", "איתור ואיסוף ביער הנכחד" ו"יער העתיד" עם למעלה מ-10 מתקני אמנות חדשים

מרכזי נתונים של Batelco ו-Qareeb חתמו על מזכר הבנות ב-Gateway Gulf Forum
Batelco, מקבוצת Beyon, חתמה על מזכר הבנות עם Qareeb Data Centers W.L.L. במהלך Gateway Gulf Investment Forum 2024. מזכר ההבנות נחתם בידי מנכ"ל Batelco מייתם עבדואללה, ובידי אנמארי ואן זדלהוף, מנהלת האסטרטגיה הראשית של Qareeb Data Centers, , בנוכחות פקידים משתי החברות.
     
 
שיווק באינטרנט על ידי WSI