For nylig førte en sikkerhedsfejl fundet i Azure App Service, en Microsoft-administreret platform til at bygge og hoste webapps, til eksponeringen af PHP, Node, Python, Ruby eller Java-kundekildekode.
Hvad der er endnu mere bekymrende end det, er, at dette er sket i mindst fire år siden 2017.
Azure App Service Linux-kunder blev også påvirket af dette problem, mens IIS-baserede applikationer implementeret af Azure App Service Windows-kunder ikke blev berørt.
Sikkerhedsforskere advarede Microsoft om farlige fejl
Sikkerhedsforskere fra Wiz udtalte, at små grupper af kunder stadig er potentielt eksponerede og bør tage visse brugerhandlinger for at beskytte deres applikationer.
Detaljer om denne proces kan findes i adskillige e-mail-advarsler, som Microsoft udsendte mellem den 7. – 15. december 2021.
Forskerne testede deres teori om, at den usikre standardadfærd i Azure App Service Linux sandsynligvis blev udnyttet i naturen ved at implementere deres egen sårbare app.
Og efter kun fire dage så de de første forsøg fra trusselsaktører på at få adgang til indholdet af den udsatte kildekodemappe.
Selvom dette kunne pege på, at angribere allerede kender til Ikke Legit fejl og forsøger at finde udsatte Azure App Service apps kildekode, kan disse scanninger også forklares som normale scanninger for udsatte .git-mapper.
Ondsindede tredjeparter har fået adgang til filer, der tilhører højtprofilerede organisationer efter at have fundet offentlige .git-mapper, så det er ikke rigtig et spørgsmål om, det er mere af en hvornår spørgsmål.
De berørte Azure App Service-applikationer inkluderer alle PHP-, Node-, Python-, Ruby- og Java-apps, der er kodet til at tjene statisk indhold, hvis det implementeres ved hjælp af Local Git på en ren standardapplikation i Azure App Service startende med 2013.
Eller, hvis den er implementeret i Azure App Service siden 2013 ved hjælp af en hvilken som helst Git-kilde, efter at en fil er blevet oprettet eller ændret i appcontaineren.
Microsoft anerkendt oplysningerne, og Azure App Service-teamet har sammen med MSRC allerede anvendt en rettelse designet til at dække de mest berørte kunder og advarede alle kunder, der stadig var eksponerede efter aktivering af installation på stedet eller upload af .git-mappen til indholdet vejviser.
Små grupper af kunder er stadig potentielt eksponerede og bør tage visse brugerhandlinger for at beskytte deres applikationer, som beskrevet i adskillige e-mail-advarsler, som Microsoft udsendte mellem den 7. – 15. december, 2021.
Den Redmond-baserede teknologigigant afbød fejlen ved at opdatere PHP-billeder for at forhindre visning af .git-mappen som statisk indhold.
Azure App Service-dokumentationen blev også opdateret med et nyt afsnit om korrekt sikring af apps’ kildekode og indsættelser på stedet.
Hvis du vil vide mere om NotLegit-sikkerhedsfejlen, kan du finde en tidslinje for offentliggørelse i Microsofts blogindlæg.
Hvad er din holdning til hele denne situation? Del din mening med os i kommentarfeltet nedenfor.
