Исследователи из израильской компании Legit Security обнаружили уязвимость в Microsoft Azure Pipelines, позволяющую злоумышленникам внедрять вредоносный код в рабочие процессы разработки и запускать атаки на цепочку поставок программного обеспечения.
В своём отчёте , вышедшем 30 марта, Legit Security раскрыла технические подробности об CVE-2023-21553 . Это уязвимость высокой степени серьёзности, затрагивающей Azure DevOps Server, которую Microsoft исправила в феврале. Уязвимость даёт возможность удаленно выполнять код, что позволяет злоумышленникам получить полный контроль над переменными и задачами в Azure Pipelines.
Microsoft Azure Pipeline – это облачная платформа для автоматизации сборки, тестирования и развертывания программного обеспечения. Это инструмент для непрерывной интеграции и непрерывной доставки, который помогает разработчикам автоматизировать процесс разработки и доставки приложений на различные платформы и устройства.
Уязвимость Azure Pipelines затронула как облачную версию Azure DevOps Server, так и локальную. В то время как облачная версия была исправлена мгновенно и не требовала никаких действий со стороны клиента, для локальной версии клиентам необходимо вручную установить исправление, чтобы устранить уязвимость.
Успешная эксплуатация CVE-2023-21553 может привести к серьезным последствиям, включая организацию массивных атак на цепочку поставок. “Злоумышленник может использовать любую переменную, контролируемую пользователем, для внедрения команд ведения журнала, которые приведут к перезаписи существующих переменных и захвату конвейера”, заявили в Legit Security.
Кэти Нортон, аналитик компании IDC, считает, что уязвимость свидетельствует об отсутствии человеческого контроля в большинстве конвейеров непрерывной интеграции и непрерывной доставки.
Согласно недавнему опросу , проведённому IDC, большинство респондентов заявили, что самой большой проблемой, с которой они сталкиваются с точки зрения пробелов в инструментах DevOps и незащищенности, является невозможность быстрого исправления критических уязвимостей.
Мелинда Маркс, старший аналитик группы корпоративной стратегии TechTarget, сказала, что уязвимость подчеркивает важность защиты конвейеров и проблему полного исправления локальной инфраструктуры разработки из-за сложности цепочек поставок программного обеспечения.