Las herramientas CLI de AWS, Google y Azure podrían filtrar credenciales en los registros de compilación - Masterhacks Blog

Las herramientas CLI de AWS, Google y Azure podrían filtrar credenciales en los registros de compilación

Nueva investigación en ciberseguridad ha descubierto que las herramientas de interfaz de línea de comandos (CLI) de Amazon Web Services (AWS) y Google Cloud pueden exponer credenciales confidenciales en registros de compilación, lo cual representa riesgos considerables para las empresas.

Esta vulnerabilidad ha sido etiquetada como LeakyCLI por la firma de seguridad en la nube Orca.

«Algunos comandos en Azure CLI, AWS CLI y Google Cloud CLI pueden revelar información sensible en forma de variables de entorno, que pueden ser aprovechadas por atacantes cuando son publicadas por herramientas como GitHub Actions», explicó el investigador de seguridad Roi Nisimi en un informe.

Microsoft ha abordado este problema como parte de las actualizaciones de seguridad lanzadas en noviembre de 2023, asignándole el identificador CVE CVE-2023-36052 (puntuación CVSS: 8.6).

En resumen, la idea radica en cómo los comandos de CLI, como los mencionados anteriormente, pueden utilizarse para mostrar variables de entorno predefinidas y generar registros en los procesos de Integración Continua y Despliegue Continuo (CI/CD). A continuación se presenta una lista de tales comandos que abarcan tanto AWS como Google Cloud:

  • aws lambda get-function-configuration
  • aws lambda get-function
  • aws lambda update-function-configuration
  • aws lambda update-function-code
  • aws lambda publish-version
  • gcloud functions deploy –set-env-vars
  • gcloud functions deploy –update-env-vars
  • gcloud functions deploy –remove-env-vars

Orca informó haber encontrado varios proyectos en GitHub que, sin darse cuenta, filtraron tokens de acceso y otros datos sensibles a través de los registros de GitHub Actions, CircleCI, TravisCI y Cloud Build.

A diferencia de Microsoft, tanto Amazon como Google consideran que este comportamiento es esperado, y requieren que las organizaciones tomen medidas para evitar almacenar secretos en variables de entorno, optando en su lugar por utilizar un servicio de almacenamiento de secretos dedicado, como AWS Secrets Manager o Google Cloud Secret Manager.

Google también sugiere utilizar la opción «–no-user-output-enabled» para suprimir la impresión de la salida del comando en la salida estándar y en el error estándar en la terminal.

«Si los ciberdelincuentes obtienen acceso a estas variables de entorno, podrían potencialmente acceder a información confidencial, como contraseñas, nombres de usuario y claves, lo que les permitiría acceder a cualquier recurso que los propietarios del repositorio puedan tener», advirtió Nisimi.

«Los comandos de CLI se consideran por defecto que se ejecutan en un entorno seguro, pero en combinación con los pipelines de CI/CD, pueden representar una amenaza para la seguridad.»

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *