हाल ही में, वेब ऐप बनाने और होस्ट करने के लिए Microsoft द्वारा प्रबंधित प्लेटफ़ॉर्म Azure ऐप सर्विस में एक सुरक्षा दोष पाया गया, जिसके कारण PHP, Node, Python, Ruby, या Java ग्राहक स्रोत कोड का प्रदर्शन हुआ।
इससे भी ज्यादा चिंता की बात यह है कि यह 2017 से कम से कम चार साल से हो रहा है।
Azure ऐप सेवा Linux ग्राहक भी इस समस्या से प्रभावित हुए, जबकि Azure ऐप सेवा Windows ग्राहकों द्वारा परिनियोजित IIS-आधारित अनुप्रयोग प्रभावित नहीं हुए।
सुरक्षा शोधकर्ताओं ने Microsoft को खतरनाक खामी के बारे में चेतावनी दी
से सुरक्षा शोधकर्ता जानकार ने कहा कि ग्राहकों के छोटे समूह अभी भी संभावित रूप से उजागर हैं और उन्हें अपने अनुप्रयोगों की सुरक्षा के लिए कुछ उपयोगकर्ता कार्रवाई करनी चाहिए।
इस प्रक्रिया के बारे में विवरण Microsoft द्वारा 7 से 15 दिसंबर, 2021 के बीच जारी किए गए कई ईमेल अलर्ट में पाया जा सकता है।
शोधकर्ताओं ने अपने सिद्धांत का परीक्षण किया कि Azure ऐप सर्विस लिनक्स में असुरक्षित डिफ़ॉल्ट व्यवहार का जंगली में अपने स्वयं के कमजोर ऐप को तैनात करके शोषण किया गया था।
और, केवल चार दिनों के बाद, उन्होंने उजागर स्रोत कोड फ़ोल्डर की सामग्री तक पहुंचने के लिए धमकी देने वाले अभिनेताओं द्वारा किए गए पहले प्रयासों को देखा।
भले ही यह पहले से ही जानने वाले हमलावरों को इंगित कर सकता है वैध नहीं दोष और उजागर Azure ऐप सेवा ऐप्स के स्रोत कोड को खोजने का प्रयास करते हुए, इन स्कैन को एक्सपोज़्ड .git फ़ोल्डरों के लिए सामान्य स्कैन के रूप में भी समझाया जा सकता है।
सार्वजनिक .git फ़ोल्डर्स खोजने के बाद दुर्भावनापूर्ण तृतीय पक्षों ने हाई-प्रोफाइल संगठनों से संबंधित फ़ाइलों तक पहुंच प्राप्त कर ली है, इसलिए यह है वास्तव में अगर का सवाल नहीं है, तो यह है और अधिक कब प्रश्न।
प्रभावित Azure ऐप सेवा अनुप्रयोगों में सर्व करने के लिए कोडित सभी PHP, Node, Python, Ruby, और Java ऐप्स शामिल हैं स्थिर सामग्री यदि एज़्योर ऐप सेवा में एक स्वच्छ डिफ़ॉल्ट एप्लिकेशन पर स्थानीय गिट का उपयोग करके शुरू की जाती है 2013.
या, अगर ऐप कंटेनर में फ़ाइल बनाने या संशोधित करने के बाद, 2013 से किसी भी Git स्रोत का उपयोग करके Azure ऐप सेवा में तैनात किया गया है।
माइक्रोसॉफ्ट स्वीकार किया जानकारी, और Azure ऐप सेवा टीम, MSRC के साथ पहले से ही सबसे अधिक प्रभावितों को कवर करने के लिए डिज़ाइन किया गया एक सुधार लागू कर चुकी है इन-प्लेस परिनियोजन को सक्षम करने या सामग्री में .git फ़ोल्डर अपलोड करने के बाद भी उजागर हुए सभी ग्राहकों को ग्राहकों और सतर्क किया निर्देशिका।
ग्राहकों के छोटे समूह अभी भी संभावित रूप से सामने आ रहे हैं और उन्हें सुरक्षा के लिए कुछ उपयोगकर्ता कार्रवाई करनी चाहिए उनके आवेदन, जैसा कि 7 से 15 दिसंबर के बीच Microsoft द्वारा जारी कई ईमेल अलर्ट में विस्तृत है, 2021.
रेडमंड स्थित तकनीकी दिग्गज ने .git फ़ोल्डर को स्थिर सामग्री के रूप में पेश करने की अनुमति देने के लिए PHP छवियों को अपडेट करके दोष को कम किया।
Azure ऐप सेवा दस्तावेज़ीकरण को एक नए अनुभाग के साथ ठीक से अपडेट किया गया था ऐप्स के सोर्स कोड को सुरक्षित करना तथा इन-प्लेस तैनाती.
यदि आप NotLegit सुरक्षा दोष के बारे में अधिक जानना चाहते हैं, तो एक प्रकटीकरण समयरेखा मिल सकती है माइक्रोसॉफ्ट का ब्लॉग पोस्ट.
इस पूरी स्थिति पर आपका क्या ख्याल है? नीचे टिप्पणी अनुभाग में अपनी राय हमारे साथ साझा करें।
