Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה

דרוג:

 

 

Legit Security חושפת פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט, שמהווה סיכון חמורי לשרשראות אספקת תוכנה

 

תל אביב, 4 באפריל 2023, (GLOBE NEWSWIRE) :

 

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה כי היא חשפה פגיעות מסוג ביצוע קוד מרחוק ב-Azure Pipelines של מיקרוסופט. הפגיעות מאפשרת לתוקפים לנצל את שרתי ה-Azure DevOps של מיקרוסופט כדי ליזום התקפות על שרשרת האספקה ​​של תוכנה ולהפעיל קוד זדוני שעלול לסכן את האבטחה והשלמות של מוצרי התוכנה של הארגון. לאור השימוש הנרחב ב-Azure Pipelines בפיתוח תוכנה, פגיעות זו מהווה סיכון משמעותי לעסקים המסתמכים על השירות כדי לספק את התוכנה שלהם. Legit Security עבדה בשיתוף פעולה הדוק עם Microsoft כדי לחשוף ולתקן את הפגיעות ומידע על הדרך למזער סיכונים ניתן למצוא בבלוג הגילוי הטכני של Legit Security.

הפגיעות מסוג ביצוע קוד מרחוק שהתגלתה בידי Legit Security קיבלה את הרישום CVE-2023-21553 ומשפיעה על Azure Pipelines, שירות אינטגרציה מתמשך ואספקה ​​מתמשכת (CI/CD) פופולרי מאוד מבית מיקרוסופט. מערכות בניית תוכנה כגון Azure Pipelines הן הבסיס לתהליך פיתוח תוכנה והן אחראיות ליצירה ולהידור קוד למוצרי תוכנה, ולמיכון השחרור שלהם. פגיעויות בתוך מערכת הבנייה מסוכנות מאוד מאחר שתוקפים יכולים להחדיר קוד זדוני ולהדביק את מוצרי התוכנה המפותחים, ולהעביר אותם במורד הזרם ללקוחות.

 

הפגיעות שהתגלתה מקורה במנגנון פקודות הרישום של Azure Pipelines ומאפשרת לתוקפים לבצע קוד שעלול לפגוע ישירות באבטחה ובשלמות של התוכנות המועברות ללקוחות. בנוסף יכולים התוקפים למנף את הפגיעות הזו כדי לגשת לסודות רגישים הכלולים בצינור התוכנה, כגון סיסמאות למשאבים רגישים ומפתחות גישה לשירותי ענן, כדי ליזום התקפות רוחביות ולסכן את הארגון עוד יותר. כתוצאה מכך, לפגיעות זו עלולה להיות השלכות הרסניות, אם לא תטופל, בעסקים המסתמכים על Azure Pipelines כדי לבנות ולפרוס את התוכנה שלהם.

 

"צינורות בניית תוכנה הם חלק קריטי בשרשרת האספקה ​​של התוכנה, ופגיעויות בתוכם יכולות לאפשר הזרקת קוד זדוני ושיבוש קוד בדומה למתקפת SolarWinds הידועה לשמצה", אמר ליאב כספי, מנהל הטכנולוגיה הראשי ומייסד שותף של Legit Security. "יצרני תוכנה צריכים להיות ערניים בהגנה על שרשרת אספקת התוכנה שלהם, הכוללת אבטחת צינורות בנייה וטיפול בנקודות תורפה כמו זו שגילינו ב-Azure Pipelines של מיקרוסופט".

 

Legit Security עבדה בשיתוף פעולה הדוק עם מיקרוסופט כדי לטפל בפגיעות, ופורסם תיקון שמאפשר להקטין את הסיכון. משתמשים עם גרסה לא מעודכנת של Azure DevOps Server עלולים להישאר פגיעים, ומשתמשים בגרסה המקומית (ADO Server גרסה 2020.1.2 ומטה) צריכים להחיל את התיקון בהקדם האפשרי. יש לציין שלא כל צינור ב-Azure Pipelines פגיע, וזה תלוי בתכונות ובתבניות פקודות הרישום בהם משתמשים. מומלץ מאוד לארגונים המשתמשים ב-Azure Pipelines לעיין בבלוג הגילוי הטכני של Legit Security כדי לקבוע אם הם מושפעים וכדי למזער את הסיכונים.


אודות Legit Security

 

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

 

קשרי מדיה

 

Tony Keller

[email protected]

 

 

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GlobeNewswire

 

לפרטים נוספים: נוי תקשורת 03-6026026 זהר 052-2641769


תגיות של המאמר: Legit Security |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

פסיפיק גרין חתמה על הסכם התחייבות עם ZEN Energy לקליטת BESS באוסטרליה עבור 1.5GWh פסיפיק גרין שמחה להודיע כי עסקי אחסון אנרגיית הסול
Rust Mobile נחשף עם קדימון רשמי ודמו פעילות ראשון לקראת Gamescom 2025 Level Infinite נרגשת לחשוף את תכונות המשחקיות של R
Meltwater מציגה לראשונה את GenAI Lens הראשון בתעשייה, ופותחת תובנות מותג משופרות Meltwater, מובילה עולמית במדיה, מדיה חברתית ומודיע
הצלת ציפורים בחוות רוח עם בינה מלאכותית: Boulder Imaging ו-Oikon משיקות את IdentiFlight בקרואטיה Boulder Imaging שיתפה פעולה עם Oikon Ltd, חברת היי
Biolog נכנסת לשוק האבחון האירופי, ומביאה עמה 45 שנות מצוינות באורגניזם אנארובי Biolog, ספקית מובילה של כלים ושירותים לזיהוי מיקרו
נתוני המחקר הפיבוטלי DREAM של Nyxoah פורסמו בכתב העת לרפואת שינה קלינית Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) ("Nyxoah"
ONAR ממנה את מארק גזית לדירקטור בחברה ONAR ממנה את מארק גזית לדירקטור בחברה
פלטפורמת Application Delivery and Security של F5 מציגה יכולות חדשות לזיהוי ומניעת זליגת נתונים במערכות AI פלטפורמת Application Delivery and Security של F5 מ
Leil Storage מכריזה על תמיכה ב-SaunaFS HAMR, ומאפשרת קיבולת אחסון גדולה יותר עבור פריסות מקומיות Leil Storage מכריזה על התמיכה של SaunaFS 5.0 בטכנו
ExaGrid משחררת את גרסה 7.3.0 ExaGrid, הספקית של הפתרון היחיד בענף לאחסון גיבוי
WeRide משתפת פעולה עם Lenovo בהשקת פלטפורמת HPC 3.0 מלאה ברמת הדרישות של תעשיית הרכב על בסיס על בסיסי שבבי DRIVE AGX Thor של NVIDIA WeRide (נאסד"ק: WRD), מובילה עולמית בטכנולוגיית נה
Spacely AI הבטיחה סבב גיוס ראשוני בהיקף מיליון דולר כדי להעצים את התכנון של בינה מלאכותית יוצרת עבור אדריכלים ברחבי העולם Spacely AI, חברת הסטארטאפ מבנגקוק שמביאה בינה מלאכ
פתרון EUDR של Source Intelligence מפשט בדיקת נאותות עבור בירוא יערות Source Intelligence השיקה את פתרון ה-EUDR שלה כדי
מחקר חדש של F5 מגלה: מרבית הארגונים עדיין אינם מוכנים לעידן הAI ומתמודדים עם אתגרי אבטחה וממשל המעכבים את ההתרחבות מחקר חדש של F5 מגלה: מרבית הארגונים עדיין אינם מו
31 Concept נחשפת לראשונה, ותציג פלטפורמת בינת רשת פורצת דרך בתערוכת Iss Asia 2025 31 Concept (31C), חברת סטארטאפ טכנולוגית המתמחה בפ
ExaGrid מקבלת הכרה ומצטרפת לרשימת 2025 MES Midmarket 100 היוקרתית ExaGrid, הספקית של הפתרון היחיד בענף לאחסון גיבוי
שותפות טרנס-אטלנטית חדשה עבור CCA אירופאי General Atomics נוקטת צעד נועז לקראת אספקה מהירה ש
Lantronix מחדשת את הקישוריות התעשייתית עם השקת סדרת הנתבים האלחוטיים תומכי 5G הזמיני ועטורי הפרסים שלה Lantronix Inc. לנטרוניקס (נאסד"ק: LTRX), מובילה עו
צוות אווירי בלגי השלים אימון ב-MQ-9B צוות האוויר הבלגי הראשון השלים את ההכשרה להפעלת כל
ההדגמה האחרונה של המטוס האוטונומי של GA כללה יכולת קרב אוויר-אוויר בזמן אמת General Atomics Aeronautical Systems, Inc (GA-ASI)
הוסף תגובה 
תגובות  ( תגובות)