Πρόσφατα, ένα ελάττωμα ασφαλείας που εντοπίστηκε στην υπηρεσία Azure App Service, μια πλατφόρμα που διαχειρίζεται η Microsoft για τη δημιουργία και τη φιλοξενία εφαρμογών Ιστού, οδήγησε στην έκθεση του πηγαίου κώδικα πελατών PHP, Node, Python, Ruby ή Java.
Αυτό που είναι ακόμα πιο ανησυχητικό από αυτό, είναι ότι αυτό συμβαίνει για τουλάχιστον τέσσερα χρόνια, από το 2017.
Οι πελάτες του Azure App Service Linux επηρεάστηκαν επίσης από αυτό το ζήτημα, ενώ οι εφαρμογές που βασίζονται σε IIS που αναπτύσσονται από πελάτες του Azure App Service Windows δεν επηρεάστηκαν.
Οι ερευνητές ασφαλείας προειδοποίησαν τη Microsoft για επικίνδυνο ελάττωμα
Ερευνητές ασφαλείας από Wiz δήλωσε ότι μικρές ομάδες πελατών εξακολουθούν να είναι δυνητικά εκτεθειμένες και θα πρέπει να προβούν σε ορισμένες ενέργειες χρηστών για την προστασία των εφαρμογών τους.
Λεπτομέρειες σχετικά με αυτήν τη διαδικασία μπορείτε να βρείτε σε πολλές ειδοποιήσεις ηλεκτρονικού ταχυδρομείου που εξέδωσε η Microsoft μεταξύ 7 και 15 Δεκεμβρίου 2021.
Οι ερευνητές δοκίμασαν τη θεωρία τους ότι η ανασφαλής προεπιλεγμένη συμπεριφορά στο Azure App Service Linux πιθανότατα έγινε αντικείμενο εκμετάλλευσης στην άγρια φύση με την ανάπτυξη της δικής τους ευάλωτης εφαρμογής.
Και, μετά από μόλις τέσσερις ημέρες, είδαν τις πρώτες προσπάθειες που έγιναν από φορείς απειλών για πρόσβαση στα περιεχόμενα του εκτεθειμένου φακέλου πηγαίου κώδικα.
Παρόλο που αυτό θα μπορούσε να υποδηλώνει ότι οι επιτιθέμενοι γνωρίζουν ήδη NotLegit είναι ελάττωμα και προσπαθεί να βρει τον πηγαίο κώδικα των εκτεθειμένων εφαρμογών Azure App Service, αυτές οι σαρώσεις θα μπορούσαν επίσης να εξηγηθούν ως κανονικές σαρώσεις για εκτεθειμένους φακέλους .git.
Κακόβουλα τρίτα μέρη απέκτησαν πρόσβαση σε αρχεία που ανήκουν σε οργανισμούς υψηλού προφίλ αφού βρήκαν δημόσιους φακέλους .git, επομένως δεν είναι πραγματικά θέμα αν, είναι περισσότερο από α πότε ερώτηση.
Οι επηρεαζόμενες εφαρμογές Azure App Service περιλαμβάνουν όλες τις εφαρμογές PHP, Node, Python, Ruby και Java που έχουν κωδικοποιηθεί για εξυπηρέτηση στατικό περιεχόμενο εάν αναπτυχθεί χρησιμοποιώντας το Local Git σε μια καθαρή προεπιλεγμένη εφαρμογή στην υπηρεσία Azure App Service ξεκινώντας από 2013.
Ή, εάν έχει αναπτυχθεί στην υπηρεσία Azure App Service από το 2013 χρησιμοποιώντας οποιαδήποτε πηγή Git, μετά τη δημιουργία ή την τροποποίηση ενός αρχείου στο κοντέινερ της εφαρμογής.
Microsoft αναγνώρισε οι πληροφορίες και η ομάδα της υπηρεσίας εφαρμογών Azure, μαζί με το MSRC έχουν ήδη εφαρμόσει μια επιδιόρθωση που έχει σχεδιαστεί για να καλύπτει τις περισσότερες επιπτώσεις πελάτες και ειδοποίησε όλους τους πελάτες που εξακολουθούν να είναι εκτεθειμένοι μετά την ενεργοποίηση της επιτόπιας ανάπτυξης ή τη μεταφόρτωση του φακέλου .git στο περιεχόμενο Ευρετήριο.
Μικρές ομάδες πελατών εξακολουθούν να είναι δυνητικά εκτεθειμένες και θα πρέπει να προβούν σε συγκεκριμένες ενέργειες των χρηστών για την προστασία τους τις εφαρμογές τους, όπως περιγράφεται σε πολλές ειδοποιήσεις ηλεκτρονικού ταχυδρομείου που εξέδωσε η Microsoft μεταξύ 7 και 15 Δεκεμβρίου, 2021.
Ο τεχνολογικός γίγαντας με έδρα το Ρέντμοντ μετριάστηκε το ελάττωμα με την ενημέρωση των εικόνων PHP για να μην επιτρέπεται η προβολή του φακέλου .git ως στατικό περιεχόμενο.
Η τεκμηρίωση της υπηρεσίας εφαρμογών Azure ενημερώθηκε επίσης με μια νέα ενότητα για σωστά διασφάλιση του πηγαίου κώδικα των εφαρμογών και επιτόπιες αναπτύξεις.
Εάν θέλετε να μάθετε περισσότερα σχετικά με το ελάττωμα ασφαλείας του NotLegit, μπορείτε να βρείτε ένα χρονοδιάγραμμα αποκάλυψης Η ανάρτηση ιστολογίου της Microsoft.
Ποια είναι η άποψή σας για όλη αυτή την κατάσταση; Μοιραστείτε τη γνώμη σας μαζί μας στην παρακάτω ενότητα σχολίων.
