Nedávno vedla bezpečnostní chyba nalezená v Azure App Service, platformě spravované společností Microsoft pro vytváření a hostování webových aplikací, k odhalení zdrojových kódů zákazníků PHP, Node, Python, Ruby nebo Java.
Co je ještě znepokojivější, je to, že se to děje nejméně čtyři roky, od roku 2017.
Zákazníci Azure App Service Linux byli také ovlivněni tímto problémem, zatímco aplikace založené na IIS nasazené zákazníky Azure App Service Windows nebyly ovlivněny.
Bezpečnostní výzkumníci varovali Microsoft před nebezpečnou chybou
Bezpečnostní výzkumníci z Wiz uvedl, že malé skupiny zákazníků jsou stále potenciálně ohroženy a měli by podniknout určitá uživatelská opatření k ochraně svých aplikací.
Podrobnosti o tomto procesu lze nalézt v několika e-mailových upozorněních, které společnost Microsoft vydala mezi 7. a 15. prosincem 2021.
Výzkumníci testovali svou teorii, že nezabezpečené výchozí chování v Azure App Service Linux bylo pravděpodobně zneužito ve volné přírodě nasazením jejich vlastní zranitelné aplikace.
A po pouhých čtyřech dnech viděli první pokusy aktérů ohrožení získat přístup k obsahu odhalené složky zdrojového kódu.
I když by to mohlo ukazovat na útočníky, kteří o tom již vědí NotLegit a při pokusu o nalezení zdrojového kódu odhalených aplikací Azure App Service by tato skenování mohla být také vysvětlena jako normální prohledávání vystavených složek .git.
Škodlivé třetí strany získaly přístup k souborům patřícím významným organizacím po nalezení veřejných složek .git, takže není to vlastně otázka jestli, to je více z a když otázka.
Mezi ovlivněné aplikace Azure App Service patří všechny aplikace PHP, Node, Python, Ruby a Java kódované pro poskytování statický obsah, pokud je nasazen pomocí Local Git na čisté výchozí aplikaci ve službě Azure App Service počínaje 2013.
Nebo v případě nasazení v Azure App Service od roku 2013 pomocí libovolného zdroje Git po vytvoření nebo úpravě souboru v kontejneru aplikace.
Microsoft uznal informace a tým Azure App Service spolu s MSRC již použili opravu navrženou tak, aby pokryla nejvíce postižené zákazníky a upozornil všechny zákazníky, kteří byli stále vystaveni po povolení nasazení na místě nebo nahrání složky .git do obsahu adresář.
Malé skupiny zákazníků jsou stále potenciálně ohroženy a měli by podniknout určitá uživatelská opatření k ochraně jejich aplikace, jak je podrobně popsáno v několika e-mailových upozorněních, které společnost Microsoft vydala mezi 7. a 15. prosincem, 2021.
Technologický gigant se sídlem v Redmondu tuto chybu zmírnil aktualizací obrázků PHP, aby neumožňoval poskytování složky .git jako statického obsahu.
Dokumentace Azure App Service byla také aktualizována o novou sekci správně zabezpečení zdrojového kódu aplikací a nasazení na místě.
Pokud se chcete dozvědět více o bezpečnostní chybě NotLegit, časový harmonogram zveřejnění naleznete v Příspěvek na blogu Microsoftu.
Jaký je váš názor na celou tuto situaci? Podělte se s námi o svůj názor v sekci komentářů níže.
