Η ευπάθεια Azure App Service αποκαλύπτει τον πηγαίο κώδικα του πελάτη

Πρόσφατα, ένα ελάττωμα ασφαλείας που εντοπίστηκε στην υπηρεσία Azure App Service, μια πλατφόρμα που διαχειρίζεται η Microsoft για τη δημιουργία και τη φιλοξενία εφαρμογών Ιστού, οδήγησε στην έκθεση του πηγαίου κώδικα πελατών PHP, Node, Python, Ruby ή Java.

Αυτό που είναι ακόμα πιο ανησυχητικό από αυτό, είναι ότι αυτό συμβαίνει για τουλάχιστον τέσσερα χρόνια, από το 2017.

Οι πελάτες του Azure App Service Linux επηρεάστηκαν επίσης από αυτό το ζήτημα, ενώ οι εφαρμογές που βασίζονται σε IIS που αναπτύσσονται από πελάτες του Azure App Service Windows δεν επηρεάστηκαν.

Οι ερευνητές ασφαλείας προειδοποίησαν τη Microsoft για επικίνδυνο ελάττωμα

Ερευνητές ασφαλείας από Wiz δήλωσε ότι μικρές ομάδες πελατών εξακολουθούν να είναι δυνητικά εκτεθειμένες και θα πρέπει να προβούν σε ορισμένες ενέργειες χρηστών για την προστασία των εφαρμογών τους.

Λεπτομέρειες σχετικά με αυτήν τη διαδικασία μπορείτε να βρείτε σε πολλές ειδοποιήσεις ηλεκτρονικού ταχυδρομείου που εξέδωσε η Microsoft μεταξύ 7 και 15 Δεκεμβρίου 2021.

Οι ερευνητές δοκίμασαν τη θεωρία τους ότι η ανασφαλής προεπιλεγμένη συμπεριφορά στο Azure App Service Linux πιθανότατα έγινε αντικείμενο εκμετάλλευσης στην άγρια ​​φύση με την ανάπτυξη της δικής τους ευάλωτης εφαρμογής.

Και, μετά από μόλις τέσσερις ημέρες, είδαν τις πρώτες προσπάθειες που έγιναν από φορείς απειλών για πρόσβαση στα περιεχόμενα του εκτεθειμένου φακέλου πηγαίου κώδικα.

Παρόλο που αυτό θα μπορούσε να υποδηλώνει ότι οι επιτιθέμενοι γνωρίζουν ήδη NotLegit είναι ελάττωμα και προσπαθεί να βρει τον πηγαίο κώδικα των εκτεθειμένων εφαρμογών Azure App Service, αυτές οι σαρώσεις θα μπορούσαν επίσης να εξηγηθούν ως κανονικές σαρώσεις για εκτεθειμένους φακέλους .git.

Κακόβουλα τρίτα μέρη απέκτησαν πρόσβαση σε αρχεία που ανήκουν σε οργανισμούς υψηλού προφίλ αφού βρήκαν δημόσιους φακέλους .git, επομένως δεν είναι πραγματικά θέμα αν, είναι περισσότερο από α πότε ερώτηση.

Οι επηρεαζόμενες εφαρμογές Azure App Service περιλαμβάνουν όλες τις εφαρμογές PHP, Node, Python, Ruby και Java που έχουν κωδικοποιηθεί για εξυπηρέτηση στατικό περιεχόμενο εάν αναπτυχθεί χρησιμοποιώντας το Local Git σε μια καθαρή προεπιλεγμένη εφαρμογή στην υπηρεσία Azure App Service ξεκινώντας από 2013.

Ή, εάν έχει αναπτυχθεί στην υπηρεσία Azure App Service από το 2013 χρησιμοποιώντας οποιαδήποτε πηγή Git, μετά τη δημιουργία ή την τροποποίηση ενός αρχείου στο κοντέινερ της εφαρμογής.

Microsoft αναγνώρισε οι πληροφορίες και η ομάδα της υπηρεσίας εφαρμογών Azure, μαζί με το MSRC έχουν ήδη εφαρμόσει μια επιδιόρθωση που έχει σχεδιαστεί για να καλύπτει τις περισσότερες επιπτώσεις πελάτες και ειδοποίησε όλους τους πελάτες που εξακολουθούν να είναι εκτεθειμένοι μετά την ενεργοποίηση της επιτόπιας ανάπτυξης ή τη μεταφόρτωση του φακέλου .git στο περιεχόμενο Ευρετήριο.

Μικρές ομάδες πελατών εξακολουθούν να είναι δυνητικά εκτεθειμένες και θα πρέπει να προβούν σε συγκεκριμένες ενέργειες των χρηστών για την προστασία τους τις εφαρμογές τους, όπως περιγράφεται σε πολλές ειδοποιήσεις ηλεκτρονικού ταχυδρομείου που εξέδωσε η Microsoft μεταξύ 7 και 15 Δεκεμβρίου, 2021.

Ο τεχνολογικός γίγαντας με έδρα το Ρέντμοντ μετριάστηκε το ελάττωμα με την ενημέρωση των εικόνων PHP για να μην επιτρέπεται η προβολή του φακέλου .git ως στατικό περιεχόμενο.

Η τεκμηρίωση της υπηρεσίας εφαρμογών Azure ενημερώθηκε επίσης με μια νέα ενότητα για σωστά διασφάλιση του πηγαίου κώδικα των εφαρμογών και επιτόπιες αναπτύξεις.

Εάν θέλετε να μάθετε περισσότερα σχετικά με το ελάττωμα ασφαλείας του NotLegit, μπορείτε να βρείτε ένα χρονοδιάγραμμα αποκάλυψης Η ανάρτηση ιστολογίου της Microsoft.

Ποια είναι η άποψή σας για όλη αυτή την κατάσταση; Μοιραστείτε τη γνώμη σας μαζί μας στην παρακάτω ενότητα σχολίων.

Τελευταίο ISO για Windows 10 build 14986 τώρα

Τελευταίο ISO για Windows 10 build 14986 τώραMiscellanea

Τα Windows δεν απογοητεύουν όταν πρόκειται για ενημερώσεις του λειτουργικού συστήματος, με τη Microsoft να έχει συνηθίσει αντιμετωπίζει τους χρήστες του με μια σειρά από διάφορα μεγέθη μπαλώματα κα...

Διαβάστε περισσότερα
Η ενημέρωση του Gears of War 4 διευκολύνει τη λήψη Credits και Gear Packs

Η ενημέρωση του Gears of War 4 διευκολύνει τη λήψη Credits και Gear PacksMiscellanea

Το Coalition είναι μια εταιρεία που πραγματικά ακούει την κοινότητά της και χρησιμοποιεί τα σχόλια των παικτών για να βελτιώσει τα προϊόντα της. Μετά από ένα μεγάλο κύμα καταγγελιών, η εταιρεία προ...

Διαβάστε περισσότερα
Η τελευταία έκδοση Insider Preview Build προσφέρει νέες δυνατότητες αλληλογραφίας και ημερολογίου

Η τελευταία έκδοση Insider Preview Build προσφέρει νέες δυνατότητες αλληλογραφίας και ημερολογίουMiscellanea

Η πρόσφατη ενημέρωση της Microsoft για το Mail και το Ημερολόγιο για Windows 10 Το Insiders τους επιτρέπει να ανοίγουν μηνύματα email σε ένα νέο παράθυρο, μεταξύ άλλων.Αυτές οι δυνατότητες είναι πρ...

Διαβάστε περισσότερα