Новости Критическая уязвимость Microsoft Azure Pipelines позволяет хакерам организовывать атаки на цепочки поставок программного обеспечения

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Недостаток облачной платформы для разработчиков может привести к серьёзным последствиям.


2ciwhbpnb3z5z11vkualfm2t8u2ld2v8.jpg


Исследователи из израильской компании Legit Security обнаружили уязвимость в Microsoft Azure Pipelines, позволяющую злоумышленникам внедрять вредоносный код в рабочие процессы разработки и запускать атаки на цепочку поставок программного обеспечения.

В Для просмотра ссылки Войди или Зарегистрируйся , вышедшем 30 марта, Legit Security раскрыла технические подробности об Для просмотра ссылки Войди или Зарегистрируйся . Это уязвимость высокой степени серьёзности, затрагивающей Azure DevOps Server, которую Microsoft исправила в феврале. Уязвимость даёт возможность удаленно выполнять код, что позволяет злоумышленникам получить полный контроль над переменными и задачами в Azure Pipelines.

Microsoft Azure Pipeline — это облачная платформа для автоматизации сборки, тестирования и развертывания программного обеспечения. Это инструмент для непрерывной интеграции и непрерывной доставки, который помогает разработчикам автоматизировать процесс разработки и доставки приложений на различные платформы и устройства.

Уязвимость Azure Pipelines затронула как облачную версию Azure DevOps Server, так и локальную. В то время как облачная версия была исправлена мгновенно и не требовала никаких действий со стороны клиента, для локальной версии клиентам необходимо вручную установить исправление, чтобы устранить уязвимость.

Успешная эксплуатация Для просмотра ссылки Войди или Зарегистрируйся может привести к серьезным последствиям, включая организацию массивных атак на цепочку поставок. «Злоумышленник может использовать любую переменную, контролируемую пользователем, для внедрения команд ведения журнала, которые приведут к перезаписи существующих переменных и захвату конвейера», заявили в Legit Security.

Кэти Нортон, аналитик компании IDC , считает, что уязвимость свидетельствует об отсутствии человеческого контроля в большинстве конвейеров непрерывной интеграции и непрерывной доставки.

Согласно Для просмотра ссылки Войди или Зарегистрируйся , проведённому IDC, большинство респондентов заявили, что самой большой проблемой, с которой они сталкиваются с точки зрения пробелов в инструментах DevOps и незащищенности, является невозможность быстрого исправления критических уязвимостей.

Мелинда Маркс, старший аналитик группы корпоративной стратегии TechTarget , сказала, что уязвимость подчеркивает важность защиты конвейеров и проблему полного исправления локальной инфраструктуры разработки из-за сложности цепочек поставок программного обеспечения.
 
Источник новости
www.securitylab.ru

Похожие темы