تكشف الثغرة الأمنية في Azure App Service عن التعليمات البرمجية المصدر للعميل

في الآونة الأخيرة ، تم العثور على عيب أمني في Azure App Service ، وهو نظام أساسي تديره Microsoft لبناء واستضافة تطبيقات الويب ، مما أدى إلى الكشف عن كود مصدر عميل PHP أو Node أو Python أو Ruby أو Java.

الأمر الأكثر إثارة للقلق من ذلك ، هو أن هذا يحدث منذ أربع سنوات على الأقل ، منذ عام 2017.

تأثر عملاء Azure App Service Linux أيضًا بهذه المشكلة ، بينما لم تتأثر التطبيقات المستندة إلى IIS التي تم نشرها بواسطة عملاء Azure App Service Windows.

حذر باحثو الأمن مايكروسوفت من عيب خطير

باحثو الأمن من الحذق ذكر أن مجموعات صغيرة من العملاء لا تزال معرضة للخطر ويجب أن تتخذ إجراءات معينة للمستخدم لحماية تطبيقاتهم.

يمكن العثور على تفاصيل حول هذه العملية في العديد من تنبيهات البريد الإلكتروني التي أصدرتها Microsoft في الفترة من 7 إلى 15 ديسمبر 2021.

اختبر الباحثون نظريتهم القائلة بأن السلوك الافتراضي غير الآمن في Azure App Service Linux قد تم استغلاله في البرية من خلال نشر تطبيقهم الضعيف.

وبعد أربعة أيام فقط ، رأوا المحاولات الأولى التي قام بها المهاجمون للوصول إلى محتويات مجلد كود المصدر المكشوف.

على الرغم من أن هذا قد يشير إلى أن المهاجمين يعرفون بالفعل 

غير شرعي ومحاولة العثور على الكود المصدري لتطبيقات Azure App Service المكشوفة ، يمكن أيضًا تفسير عمليات الفحص هذه على أنها عمليات مسح عادية لمجلدات .git المكشوفة.

حصلت الجهات الخارجية الضارة على حق الوصول إلى الملفات التي تنتمي إلى مؤسسات رفيعة المستوى بعد العثور على مجلدات .git عامة ، لذا فهي كذلك ليست مسألة ما إذا كان الأمر كذلك أكثر من متي سؤال.

تتضمن تطبيقات Azure App Service المتأثرة جميع تطبيقات PHP و Node و Python و Ruby و Java المشفرة للخدمة المحتوى الثابت إذا تم نشره باستخدام Local Git في تطبيق افتراضي نظيف في Azure App Service بدءًا من 2013.

أو ، إذا تم نشره في Azure App Service منذ 2013 باستخدام أي مصدر Git ، بعد إنشاء الملف أو تعديله في حاوية التطبيق.

مايكروسوفت اعترف المعلومات ، وفريق Azure App Service ، جنبًا إلى جنب مع MSRC ، طبقوا بالفعل إصلاحًا مصممًا لتغطية الأكثر تأثرًا العملاء وتنبيه جميع العملاء الذين لا يزالون مكشوفين بعد تمكين النشر في المكان أو تحميل مجلد .git إلى المحتوى الدليل.

لا تزال مجموعات صغيرة من العملاء معرضة للخطر ويجب أن تتخذ إجراءات معينة من المستخدم لحمايتها تطبيقاتهم ، كما هو مفصل في العديد من تنبيهات البريد الإلكتروني التي أصدرتها Microsoft في الفترة من 7 إلى 15 ديسمبر ، 2021.

نجح عملاق التكنولوجيا في ريدموند في التخفيف من الخلل عن طريق تحديث صور PHP لعدم السماح بتقديم مجلد .git كمحتوى ثابت.

تم أيضًا تحديث وثائق Azure App Service بقسم جديد حول تأمين رمز مصدر التطبيقات و عمليات النشر في الموقع.

إذا كنت تريد معرفة المزيد عن الخلل الأمني ​​في NotLegit ، فيمكن العثور على مخطط زمني للإفصاح في مشاركة مدونة Microsoft.

ما هو رأيك في هذا الوضع برمته؟ شاركنا برأيك في قسم التعليقات أدناه.