Недостаток облачной платформы для разработчиков может привести к серьёзным последствиям.
Исследователи из израильской компании Legit Security обнаружили уязвимость в Microsoft Azure Pipelines, позволяющую злоумышленникам внедрять вредоносный код в рабочие процессы разработки и запускать атаки на цепочку поставок программного обеспечения.
В Для просмотра ссылки Войдиили Зарегистрируйся , вышедшем 30 марта, Legit Security раскрыла технические подробности об Для просмотра ссылки Войди или Зарегистрируйся . Это уязвимость высокой степени серьёзности, затрагивающей Azure DevOps Server, которую Microsoft исправила в феврале. Уязвимость даёт возможность удаленно выполнять код, что позволяет злоумышленникам получить полный контроль над переменными и задачами в Azure Pipelines.
Microsoft Azure Pipeline — это облачная платформа для автоматизации сборки, тестирования и развертывания программного обеспечения. Это инструмент для непрерывной интеграции и непрерывной доставки, который помогает разработчикам автоматизировать процесс разработки и доставки приложений на различные платформы и устройства.
Уязвимость Azure Pipelines затронула как облачную версию Azure DevOps Server, так и локальную. В то время как облачная версия была исправлена мгновенно и не требовала никаких действий со стороны клиента, для локальной версии клиентам необходимо вручную установить исправление, чтобы устранить уязвимость.
Успешная эксплуатация Для просмотра ссылки Войдиили Зарегистрируйся может привести к серьезным последствиям, включая организацию массивных атак на цепочку поставок. «Злоумышленник может использовать любую переменную, контролируемую пользователем, для внедрения команд ведения журнала, которые приведут к перезаписи существующих переменных и захвату конвейера», заявили в Legit Security.
Кэти Нортон, аналитик компании IDC , считает, что уязвимость свидетельствует об отсутствии человеческого контроля в большинстве конвейеров непрерывной интеграции и непрерывной доставки.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся , проведённому IDC, большинство респондентов заявили, что самой большой проблемой, с которой они сталкиваются с точки зрения пробелов в инструментах DevOps и незащищенности, является невозможность быстрого исправления критических уязвимостей.
Мелинда Маркс, старший аналитик группы корпоративной стратегии TechTarget , сказала, что уязвимость подчеркивает важность защиты конвейеров и проблему полного исправления локальной инфраструктуры разработки из-за сложности цепочек поставок программного обеспечения.
Исследователи из израильской компании Legit Security обнаружили уязвимость в Microsoft Azure Pipelines, позволяющую злоумышленникам внедрять вредоносный код в рабочие процессы разработки и запускать атаки на цепочку поставок программного обеспечения.
В Для просмотра ссылки Войди
Microsoft Azure Pipeline — это облачная платформа для автоматизации сборки, тестирования и развертывания программного обеспечения. Это инструмент для непрерывной интеграции и непрерывной доставки, который помогает разработчикам автоматизировать процесс разработки и доставки приложений на различные платформы и устройства.
Уязвимость Azure Pipelines затронула как облачную версию Azure DevOps Server, так и локальную. В то время как облачная версия была исправлена мгновенно и не требовала никаких действий со стороны клиента, для локальной версии клиентам необходимо вручную установить исправление, чтобы устранить уязвимость.
Успешная эксплуатация Для просмотра ссылки Войди
Кэти Нортон, аналитик компании IDC , считает, что уязвимость свидетельствует об отсутствии человеческого контроля в большинстве конвейеров непрерывной интеграции и непрерывной доставки.
Согласно Для просмотра ссылки Войди
Мелинда Маркс, старший аналитик группы корпоративной стратегии TechTarget , сказала, что уязвимость подчеркивает важность защиты конвейеров и проблему полного исправления локальной инфраструктуры разработки из-за сложности цепочек поставок программного обеспечения.
- Источник новости
- www.securitylab.ru