Die Command-Line Interface (CLI) Tools von Amazon Web Services (AWS) und Google Cloud stehen unter Verdacht, durch eine als „LeakyCLI“ bezeichnete Sicherheitslücke sensible Benutzerdaten offenzulegen, wie Okta im April 2024 berichtete. Diese Schwachstelle könnte dazu führen, dass persönliche Zugangsdaten unbeabsichtigt in Build-Logs erscheinen und somit potenziell für Angreifer zugänglich sind.
Die Problematik wurde erstmals im Rahmen einer Untersuchung der Orca Research Group entdeckt und betrifft spezifische Befehle in den CLI-Tools von AWS und Google Cloud, die Umgebungsvariablen in den Output schreiben können. Diese Variablen könnten dann von Unbefugten abgegriffen werden, wenn sie durch Tools wie GitHub Actions veröffentlicht werden.
Die aktuelle Lücke erinnert stark an eine Schwachstelle in Microsofts Azure CLI von 2023, die unter der Kennung CVE-2023-36052 registriert und mit einem CVSS-Score von 8.6 bewertet wurde. Microsoft hat bereits reagiert und entsprechende Sicherheitsupdates bereitgestellt, um das Problem zu beheben.
Falls Angreifer diese Umgebungsvariablen erfassen können, besteht die Gefahr, dass sie Zugriff auf kritische Informationen wie Passwörter, Benutzernamen und Schlüssel erhalten, die ihnen potenziell Zugang zu weiteren Ressourcen verschaffen könnten. CLI-Befehle gelten normalerweise als sicher innerhalb eines geschützten Umfelds, aber in Verbindung mit CI/CD-Pipelines (Continuous Integration und Continuous Deployment) könnten sie ein Sicherheitsrisiko darstellen.
Die Forscher empfehlen, geheime Schlüssel nicht in Umgebungsvariablen zu speichern, sondern sie aus einem dedizierten Secrets-Management-Dienst wie dem AWS Secrets Manager zu beziehen. Dies hilft, die Exposition gegenüber der LeakyCLI-Schwachstelle zu minimieren.
Sowohl Google als auch AWS haben in einer ersten Stellungnahme erklärt, dass das Verhalten ihrer CLI-Tools dem aktuellen Design entspricht und als solches erwartet wird. Beide Unternehmen haben jedoch zugesichert, ihre Dokumentation zu überarbeiten, um Nutzern besser zu verdeutlichen, wie sie ihre Daten effektiver schützen können.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: