Ferramentas CLI de AWS, Google e Azure Podem Expor Credenciais em Registros de Construção
17 de Abril de 2024

Pesquisas recentes de cibersegurança descobriram que ferramentas de interface de linha de comando (CLI) fornecidas pela Amazon Web Services (AWS) e Google Cloud podem revelar credenciais sensíveis em logs de build, representando riscos significativos para as organizações.

A vulnerabilidade foi apelidada de LeakyCLI pela empresa de segurança em nuvem Orca.

"Alguns comandos no Azure CLI, AWS CLI e Google Cloud CLI podem expor informações sensíveis em forma de variáveis de ambiente, que podem ser coletadas por adversários quando publicadas por ferramentas como GitHub Actions", disse o pesquisador de segurança Roi Nisimi .

A Microsoft já abordou a questão como parte das atualizações de segurança lançadas em novembro de 2023, atribuindo a ela o identificador CVE CVE-2023-36052 (pontuação CVSS: 8.6).

A ideia, em resumo, está relacionada a como os comandos CLI como poderiam ser usados para mostrar variáveis de ambiente (pré-)definidas e saída para logs de Integração Contínua e Entrega Contínua (CI/CD).

Abaixo está uma lista de tais comandos abrangendo AWS e Google Cloud:

aws lambda get-function-configuration
aws lambda get-function
aws lambda update-function-configuration
aws lambda update-function-code
aws lambda publish-version
gcloud functions deploy <func> --set-env-vars
gcloud functions deploy <func> --update-env-vars
gcloud functions deploy <func> --remove-env-vars

A Orca afirmou ter encontrado vários projetos no GitHub que inadvertidamente vazaram tokens de acesso e outros dados sensíveis através de logs do Github Actions, CircleCI, TravisCI e Cloud Build.

Diferentemente da Microsoft, contudo, tanto a Amazon quanto o Google consideram isso um comportamento esperado, exigindo que as organizações tomem medidas para evitar o armazenamento de segredos em variáveis de ambiente e, em vez disso, usem um serviço dedicado de gestão de segredos como o AWS Secrets Manager ou o Google Cloud Secret Manager.

O Google também recomenda o uso da opção "--no-user-output-enabled" para suprimir a impressão da saída de comandos para saída padrão e erro padrão no terminal.

"Se atores mal-intencionados colocarem as mãos nessas variáveis de ambiente, isso poderia potencialmente levar à visualização de informações sensíveis, incluindo credenciais, como senhas, nomes de usuário e chaves, o que poderia permitir que eles acessassem quaisquer recursos aos quais os proprietários do repositório podem", disse Nisimi.

Comandos CLI são, por padrão, considerados como sendo executados em um ambiente seguro, mas, quando combinados com pipelines de CI/CD, eles podem representar uma ameaça à segurança.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...