Կիբերանվտանգության ոլորտի նոր հետազոտությունը պարզել է, որ Amazon Web Service (AWS)–ն ու Google Cloud-ի command-line (CLI) գործիքները կարող են բացահայտել կոնֆիդենցիալ հավատարմագրերը, ինչն էլ զգալի վտանգ կարող է դառնալ կազմակերպությունների համար:
Խոցելիությունը Orca ընկերության կողմից ստացել է «LeakyCLI» կոդային անվանումը։
«Azure CLI-ի, AWS CLI-ի և Google Cloud CLI-ի որոշ հրամաններ կարող են նպաստել կոնֆիդենցիալ տվյալների բացահայտմանը», – The Hacker News-ին տված հարցազրույցուն նշում է անվտանգության գծով փորձագետ՝ Ռոի Նիսիմին։
Microsoft-ը տվյալ bug-ի հարցը լուծել է որպես 2023 թվականի նոյեմբերին թողարկված անվտանգության թարմացումների մաս՝ նրան տալով CVE նույնացուցիչը CVE-2023-36052 (CVSS կատալոգում միավորը՝ 8.6):
Գաղափարը նրանում է, թե ինչպես կարող են CLI հրամանները օգտագործվել, որոնք Continuous Integration and Continuous Deployment (CI/CD) log–ում կարող են հանդես գալ որպես output–եր: AAWS–ի և Google Cloud–ի հրամանների ցանկը հետևյալն է՝
– aws lambda get-function-configuration
– lambda get-function
– aws lambda update-function-configuration
– aws lambda update-function-code
– aws lambda publish-version
– gcloud functions deploy <func> –set-env-vars
– gcloud functions deploy <func> –update-env-vars
– gcloud functions deploy <func> –remove-env-vars
Orca-ն մի քանի նախագիծ է հայտնաբերել GitHub-ում, որոնք անզգուշաբար մի քանի access token–եր են դուրս բերել և նպաստել՝ Github Actions-ի, CircleCI-ի, TravisCI-ի և Cloud Build log–երում առկա կոնֆիդենցիալ տվյալների արտահոսքին։
«CLI հրամաններն աշխատում են անվտանգ միջավայրում, սակայն CI/CD–երի հետ միասին դրանք կարող են անվտանգության լուրջ սպառնալիքի վերածվել»:
Աղբյուրը՝ https://thehackernews.com/
