Récemment, une faille de sécurité trouvée dans Azure App Service, une plate-forme gérée par Microsoft pour la création et l'hébergement d'applications Web, a conduit à l'exposition du code source client PHP, Node, Python, Ruby ou Java.
Ce qui est encore plus inquiétant que cela, c'est que cela se produit depuis au moins quatre ans, depuis 2017.
Les clients Azure App Service Linux ont également été affectés par ce problème, tandis que les applications basées sur IIS déployées par les clients Azure App Service Windows n'étaient pas affectées.
Des chercheurs en sécurité ont mis en garde Microsoft contre une faille dangereuse
Les chercheurs en sécurité de As a déclaré que de petits groupes de clients sont toujours potentiellement exposés et devraient prendre certaines mesures d'utilisateur pour protéger leurs applications.
Des détails sur ce processus peuvent être trouvés dans plusieurs alertes par e-mail que Microsoft a émises entre le 7 et le 15 décembre 2021.
Les chercheurs ont testé leur théorie selon laquelle le comportement par défaut non sécurisé dans Azure App Service Linux a probablement été exploité dans la nature en déployant leur propre application vulnérable.
Et, après seulement quatre jours, ils ont vu les premières tentatives faites par les acteurs de la menace pour accéder au contenu du dossier de code source exposé.
Même si cela pourrait indiquer que les attaquants connaissent déjà le Pas légitime défaut et en essayant de trouver le code source des applications Azure App Service exposées, ces analyses pourraient également être expliquées comme des analyses normales pour les dossiers .git exposés.
Des tiers malveillants ont eu accès à des fichiers appartenant à des organisations de premier plan après avoir trouvé des dossiers publics .git, il est donc pas vraiment une question de si, c'est plus d'un lorsque question.
Les applications Azure App Service concernées incluent toutes les applications PHP, Node, Python, Ruby et Java codées pour servir contenu statique s'il est déployé à l'aide de Local Git sur une application par défaut propre dans Azure App Service en commençant par 2013.
Ou, s'il est déployé dans Azure App Service depuis 2013 à l'aide de n'importe quelle source Git, après la création ou la modification d'un fichier dans le conteneur d'application.
Microsoft reconnu les informations, et l'équipe Azure App Service, ainsi que MSRC ont déjà appliqué un correctif conçu pour couvrir les plus touchés clients et alerté tous les clients encore exposés après avoir activé le déploiement sur place ou téléchargé le dossier .git dans le contenu annuaire.
De petits groupes de clients sont toujours potentiellement exposés et doivent prendre certaines mesures d'utilisateur pour se protéger leurs applications, comme détaillé dans plusieurs alertes par e-mail que Microsoft a émises entre le 7 et le 15 décembre, 2021.
Le géant de la technologie basé à Redmond a atténué la faille en mettant à jour les images PHP pour interdire la diffusion du dossier .git en tant que contenu statique.
La documentation Azure App Service a également été mise à jour avec une nouvelle section sur correctement sécuriser le code source des applications et déploiements sur place.
Si vous souhaitez en savoir plus sur la faille de sécurité NotLegit, un calendrier de divulgation peut être trouvé dans Article de blog de Microsoft.
Quelle est votre opinion sur toute cette situation? Partagez votre opinion avec nous dans la section commentaires ci-dessous.
