Recientemente, una falla de seguridad encontrada en Azure App Service, una plataforma administrada por Microsoft para crear y hospedar aplicaciones web, llevó a la exposición del código fuente del cliente PHP, Node, Python, Ruby o Java.
Lo que es aún más preocupante es que esto ha estado sucediendo durante al menos cuatro años, desde 2017.
Los clientes de Azure App Service Linux también se vieron afectados por este problema, mientras que las aplicaciones basadas en IIS implementadas por los clientes de Azure App Service Windows no se vieron afectadas.
Los investigadores de seguridad advirtieron a Microsoft sobre una falla peligrosa
Investigadores de seguridad de Fenómeno declaró que pequeños grupos de clientes todavía están potencialmente expuestos y deben tomar ciertas acciones de los usuarios para proteger sus aplicaciones.
Los detalles sobre este proceso se pueden encontrar en varias alertas por correo electrónico que Microsoft emitió entre el 7 y el 15 de diciembre de 2021.
Los investigadores probaron su teoría de que el comportamiento predeterminado inseguro en Azure App Service Linux probablemente fue explotado en la naturaleza al implementar su propia aplicación vulnerable.
Y, después de solo cuatro días, vieron los primeros intentos realizados por los actores de amenazas para acceder al contenido de la carpeta del código fuente expuesta.
A pesar de que esto podría indicar que los atacantes ya conocen el NotLegit falla y tratando de encontrar el código fuente de las aplicaciones expuestas de Azure App Service, estos escaneos también podrían explicarse como escaneos normales para carpetas .git expuestas.
Los terceros malintencionados han obtenido acceso a archivos que pertenecen a organizaciones de alto perfil después de encontrar carpetas públicas .git, por lo que es no es realmente una cuestión de si, es más de un Cuándo pregunta.
Las aplicaciones de Azure App Service afectadas incluyen todas las aplicaciones PHP, Node, Python, Ruby y Java codificadas para servir contenido estático si se implementa con Local Git en una aplicación predeterminada limpia en Azure App Service comenzando con 2013.
O, si se implementó en Azure App Service desde 2013 con cualquier fuente de Git, después de que se creó o modificó un archivo en el contenedor de la aplicación.
Microsoft admitido la información, y el equipo de Azure App Service, junto con MSRC ya han aplicado una solución diseñada para cubrir a los más afectados clientes y alertó a todos los clientes que aún están expuestos después de habilitar la implementación en el lugar o cargar la carpeta .git en el contenido directorio.
Los grupos pequeños de clientes todavía están potencialmente expuestos y deben tomar ciertas medidas de usuario para proteger sus aplicaciones, como se detalla en varias alertas por correo electrónico que Microsoft emitió entre el 7 y el 15 de diciembre, 2021.
El gigante tecnológico con sede en Redmond mitigó la falla actualizando las imágenes PHP para no permitir el servicio de la carpeta .git como contenido estático.
La documentación de Azure App Service también se actualizó con una nueva sección sobre cómo proteger el código fuente de las aplicaciones y implementaciones in situ.
Si desea saber más sobre la falla de seguridad de NotLegit, puede encontrar un cronograma de divulgación en Publicación del blog de Microsoft.
¿Cuál es su opinión sobre toda esta situación? Comparta su opinión con nosotros en la sección de comentarios a continuación.
