Ferramentas AWS, Google e Azure CLI podem vazar credenciais em logs de compilação
![password](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwQ61q1unaO9nkqOW0K1z3EHh_y570jaSgouXAlR1rG01KYF40mzLUX25xa6EKLgay3bswJMsLNB1v_5ew0M3wtjM0zAjJ1KPV2XDDcuwaGgP3k3ZwDs8XiUrg8uDsO9-V7oGsk6_zJixelpe-UtNY15ozlCZG6it-JdO6aA7WsOhNP_XzYLtq11GnbYls/s728-rw-e365/password.png?w=780&resize=780,470&ssl=1)
![Credenciais em logs de compilação Credenciais em logs de compilação](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwQ61q1unaO9nkqOW0K1z3EHh_y570jaSgouXAlR1rG01KYF40mzLUX25xa6EKLgay3bswJMsLNB1v_5ew0M3wtjM0zAjJ1KPV2XDDcuwaGgP3k3ZwDs8XiUrg8uDsO9-V7oGsk6_zJixelpe-UtNY15ozlCZG6it-JdO6aA7WsOhNP_XzYLtq11GnbYls/s728-rw-e365/password.png)
Uma nova pesquisa de segurança cibernética descobriu que as ferramentas de interface de linha de comando (CLI) da Amazon Net Companies (AWS) e do Google Cloud podem expor credenciais confidenciais em logs de construção, representando riscos significativos para as organizações.
A vulnerabilidade recebeu o codinome LeakyCLI pela empresa de segurança em nuvem Orca.
“Alguns comandos no Azure CLI, AWS CLI e Google Cloud CLI podem expor informações confidenciais na forma de variáveis de ambiente, que podem ser coletadas por adversários quando publicadas por ferramentas como GitHub Actions”, disse o pesquisador de segurança Roi Nisimi em um relatório compartilhado. com The Hacker Information.
Desde então, a Microsoft abordou o problema como parte das atualizações de segurança lançadas em novembro de 2023, atribuindo-lhe o identificador CVE CVE-2023-36052 (pontuação CVSS: 8,6).
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
A ideia, em poucas palavras, tem a ver com como os comandos CLI podem ser usados para mostrar variáveis de ambiente (pré) definidas e saída para logs de Integração Contínua e Implantação Contínua (CI/CD). Uma lista desses comandos abrangendo AWS e Google Cloud está abaixo de 0
- aws lambda get-function-configuração
- função get aws lambda
- configuração de função de atualização aws lambda
- código de função de atualização aws lambda
- versão de publicação aws lambda
- funções gcloud implantar
–set-env-vars - funções gcloud implantar
–update-env-vars - funções gcloud implantar
–remove-env-vars
A Orca disse que encontrou vários projetos no GitHub que vazaram inadvertidamente tokens de acesso e outros dados confidenciais por meio de registros do Github Actions, CircleCI, TravisCI e Cloud Construct.
![Credenciais em logs de compilação Credenciais em logs de compilação](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjW9gEAIlkRudTrW3Uz_MgvD5JmBeprjX_tjDwfYQx_TUgyVtSX2RSd1PORM1l2vTcbIwJbe4yYBeQ9pLpp87sKsN_EVd7_hAppOm3v77iwj56uxeNonmmny-2TU5IxR_5sn3ThWHEIhc-MNEVFNrcfCjhppkOE-SoGBN_yfowHh66N5OfJT5pBD3HS36rH/s728-rw-e365/aws.png)
![Credenciais em logs de compilação Credenciais em logs de compilação](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPK6MTMcfktiRWR5je9VX0aByCy0eGEx7cPzegk7x0n_3Kc-Vs8jxutDPGMroc7WVIo5TCTOnEQHg9UyKhgg1iufI8zeUT1m5p18Azt0TeRiUu9m7mVg3iAmXahugYuHe1FxbMvAIW-4AzB58difid-vEqPXcIoxcFcs7QvDbOmejk2rnDuIvGVryrdXub/s728-rw-e365/github.png)
Ao contrário da Microsoft, no entanto, tanto a Amazon quanto o Google consideram esse comportamento esperado, exigindo que as organizações tomem medidas para evitar o armazenamento de segredos em variáveis de ambiente e, em vez disso, usem um serviço de armazenamento de segredos dedicado, como AWS Secrets and techniques Supervisor ou Google Cloud Secret Supervisor.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj9LS2CMV85AM5f2fKKl2aPAnQ1iZEQKbHh7hRbW3rn3MowE5BXNOrNlHsrMYRMndplTjEmzciLAj6jVsDkRJI2IdSfFXSXuSlMn6gSgmzjKktBgyRTJsC-MayMQq8Z580Hjp8oCv0WoplbNRKlOEzR3RqajPwbLY2JzbQpwEIaW6u2UDkYmcWPO_Mmzq-X/s728-e365/cis-d.png)
O Google também recomenda o uso da opção “–no-user-output-enabled” para suprimir a impressão da saída do comando na saída padrão e no erro padrão no terminal.
“Se os malfeitores colocarem as mãos nessas variáveis de ambiente, isso poderá levar à visualização de informações confidenciais, incluindo credenciais, como senhas, nomes de usuário e chaves, o que poderia permitir que eles acessassem quaisquer recursos que os proprietários do repositório pudessem”, disse Nisimi. .
“Por padrão, presume-se que os comandos CLI estejam sendo executados em um ambiente seguro, mas, juntamente com pipelines de CI/CD, eles podem representar uma ameaça à segurança.”