Наскоро недостатък в сигурността, открит в услугата Azure App Service, управлявана от Microsoft платформа за изграждане и хостване на уеб приложения, доведе до разкриването на клиентски изходен код на PHP, Node, Python, Ruby или Java.
Това, което е още по-тревожно от това, е, че това се случва от поне четири години, от 2017 г.
Клиентите на Azure App Service Linux също бяха засегнати от този проблем, докато IIS-базирани приложения, внедрени от клиентите на Azure App Service Windows, не бяха засегнати.
Изследователите по сигурността предупредиха Microsoft за опасен недостатък
Изследователи по сигурността от Wiz заяви, че малки групи клиенти все още са потенциално изложени и трябва да предприемат определени действия на потребителите, за да защитят своите приложения.
Подробности за този процес можете да намерите в няколко имейл сигнала, издадени от Microsoft между 7-15 декември 2021 г.
Изследователите тестваха теорията си, че несигурното поведение по подразбиране в Azure App Service Linux вероятно е експлоатирано в дивата природа чрез внедряване на собствено уязвимо приложение.
И само след четири дни те видяха първите опити, направени от заплахи за достъп до съдържанието на откритата папка с изходен код.
Въпреки че това може да сочи, че нападателите вече знаят за Незаконно недостатък и се опитват да намерят изходния код на приложения на Azure App Service, тези сканирания също могат да бъдат обяснени като нормално сканиране за открити папки .git.
Злонамерени трети страни са получили достъп до файлове, принадлежащи на организации с висок профил, след като са открили публични папки .git, така че е всъщност не е въпрос дали, това е повече от а кога въпрос.
Засегнатите приложения на Azure App Service включват всички PHP, Node, Python, Ruby и Java приложения, кодирани за обслужване статично съдържание, ако е разгърнато с помощта на Local Git в чисто приложение по подразбиране в услугата за приложения на Azure, като се започне с 2013.
Или, ако е разгърнат в услугата за приложения на Azure от 2013 г. с помощта на който и да е източник на Git, след като файл е бил създаден или променен в контейнера на приложението.
Microsoft признат информацията и екипът на Azure App Service, заедно с MSRC вече са приложили корекция, предназначена да покрие най-засегнатите клиенти и предупреди всички клиенти, които все още са изложени, след активиране на внедряването на място или качване на папката .git към съдържанието директория.
Малки групи клиенти все още са потенциално изложени и трябва да предприемат определени действия на потребителите за защита техните приложения, както е подробно описано в няколко имейла, изпратени от Microsoft между 7-15 декември, 2021.
Базираният в Редмънд технологичен гигант смекчи недостатъка, като актуализира PHP изображения, за да забрани обслужването на папката .git като статично съдържание.
Документацията на Azure App Service също беше актуализирана с нов раздел за правилното защита на изходния код на приложенията и разгръщания на място.
Ако искате да научите повече за грешката в сигурността на NotLegit, можете да намерите времева линия за разкриване Публикация в блога на Microsoft.
Какво е вашето мнение за цялата тази ситуация? Споделете вашето мнение с нас в секцията за коментари по-долу.
