Уязвимость в Microsoft Azure Pipelines позволяет хакерам организовывать атаки на цепочки поставок

Исследователи из израильской компании Legit Security обнаружили уязвимость в Microsoft Azure Pipelines, позволяющую злоумышленникам внедрять вредоносный код в рабочие процессы разработки и запускать атаки на цепочку поставок программного обеспечения.

В своём отчёте , вышедшем 30 марта, Legit Security раскрыла технические подробности об CVE-2023-21553 . Это уязвимость высокой степени серьёзности, затрагивающей Azure DevOps Server, которую Microsoft исправила в феврале. Уязвимость даёт возможность удаленно выполнять код, что позволяет злоумышленникам получить полный контроль над переменными и задачами в Azure Pipelines.

Microsoft Azure Pipeline — это облачная платформа для автоматизации сборки, тестирования и развертывания программного обеспечения. Это инструмент для непрерывной интеграции и непрерывной доставки, который помогает разработчикам автоматизировать процесс разработки и доставки приложений на различные платформы и устройства.

Уязвимость Azure Pipelines затронула как облачную версию Azure DevOps Server, так и локальную. В то время как облачная версия была исправлена ​​мгновенно и не требовала никаких действий со стороны клиента, для локальной версии клиентам необходимо вручную установить исправление, чтобы устранить уязвимость.

Успешная эксплуатация CVE-2023-21553 может привести к серьезным последствиям, включая организацию массивных атак на цепочку поставок. «Злоумышленник может использовать любую переменную, контролируемую пользователем, для внедрения команд ведения журнала, которые приведут к перезаписи существующих переменных и захвату конвейера», заявили в Legit Security.

Кэти Нортон, аналитик компании IDC , считает, что уязвимость свидетельствует об отсутствии человеческого контроля в большинстве конвейеров непрерывной интеграции и непрерывной доставки.

Согласно недавнему опросу , проведённому IDC, большинство респондентов заявили, что самой большой проблемой, с которой они сталкиваются с точки зрения пробелов в инструментах DevOps и незащищенности, является невозможность быстрого исправления критических уязвимостей.

Мелинда Маркс, старший аналитик группы корпоративной стратегии TechTarget , сказала, что уязвимость подчеркивает важность защиты конвейеров и проблему полного исправления локальной инфраструктуры разработки из-за сложности цепочек поставок программного обеспечения.