Hiljuti avastati Microsofti hallatavas veebirakenduste koostamise ja hostimise platvormis Azure App Service turvaviga, mis tõi kaasa PHP, Node, Pythoni, Ruby või Java kliendi lähtekoodi paljastamise.
Veelgi murettekitavam on see, et see on toimunud vähemalt neli aastat, alates 2017. aastast.
See probleem mõjutas ka Azure App Service Linuxi kliente, samas kui Azure App Service Windowsi klientide juurutatud IIS-põhiseid rakendusi see ei mõjutanud.
Turvateadlased hoiatasid Microsofti ohtliku vea eest
Turvauurijad alates Wiz teatas, et väikesed kliendirühmad on endiselt potentsiaalselt kokku puutunud ja peaksid oma rakenduste kaitsmiseks võtma teatud kasutajatoiminguid.
Selle protsessi üksikasju leiate mitmest Microsofti 7.–15. detsembril 2021 väljastatud meilimärguannetest.
Teadlased testisid oma teooriat, et Azure App Service Linuxi ebaturvalist vaikekäitumist kasutati tõenäoliselt looduses ära, juurutades nende enda haavatava rakenduse.
Ja juba nelja päeva pärast nägid nad ohutegijate esimesi katseid pääseda ligi paljastatud lähtekoodikausta sisule.
Kuigi see võib viidata ründajatele, kes juba teavad Not Legit viga ja püüdes leida paljastatud Azure App Service'i rakenduste lähtekoodi, võib neid skaneeringuid seletada ka avatud .git-kaustade tavaliste skannimistega.
Pahatahtlikud kolmandad osapooled on pärast avalike .git-kaustade leidmist saanud juurdepääsu kõrgetasemelistele organisatsioonidele kuuluvatele failidele, nii et tegelikult pole küsimus selles, kas, see on rohkem a millal küsimus.
Mõjutatud Azure App Service'i rakendused hõlmavad kõiki PHP-, Node-, Pythoni-, Ruby- ja Java-rakendusi, mis on kodeeritud teenindamiseks staatiline sisu, kui see juurutatakse kohaliku Giti abil puhtas vaikerakenduses Azure App Service'is, alustades 2013.
Või kui see on juurutatud Azure App Service'is alates 2013. aastast, kasutades mis tahes Giti allikat, pärast faili loomist või muutmist rakenduse konteineris.
Microsoft tunnistasid teave ja Azure App Service'i tiim koos MSRC-ga on juba rakendanud paranduse, mis on mõeldud kõige enam mõjutatud kliente ja teavitas kõiki kliente, kes on pärast kohapealse juurutamise lubamist või .git kausta sisusse üleslaadimist endiselt avatud kataloog.
Väikesed kliendirühmad on endiselt potentsiaalselt kokku puutunud ja peaksid kasutaja kaitsmiseks võtma teatud meetmeid nende rakendused, nagu on kirjeldatud mitmes Microsofti 7.–15. detsembril väljastatud meilihoiatustes, 2021.
Redmondis asuv tehnoloogiahiiglane leevendas viga, värskendades PHP-pilte, et keelata kausta .git teenindamine staatilise sisuna.
Azure App Service'i dokumentatsiooni värskendati ka uue jaotisega, mis käsitleb õigesti rakenduste lähtekoodi turvamine ja kohapealsed juurutused.
Kui soovite NotLegiti turvavea kohta rohkem teada saada, leiate avalikustamise ajakava Microsofti ajaveebi postitus.
Mida arvate kogu sellest olukorrast? Jagage oma arvamust meiega allpool olevas kommentaaride jaotises.
