Nedavno je sigurnosni nedostatak pronađen u usluzi Azure App Service, platformi kojom upravlja Microsoft za izradu i hosting web aplikacija, doveo je do otkrivanja izvornog koda PHP, Node, Python, Ruby ili Java.
Ono što je još više zabrinjavajuće od toga je da se to događa već najmanje četiri godine, od 2017. godine.
Korisnici Azure App Service Linux također su bili pogođeni ovim problemom, dok aplikacije temeljene na IIS-u koje su implementirali Windows korisnici Azure App Service nisu bili pogođeni.
Sigurnosni istraživači upozorili su Microsoft na opasni nedostatak
Istraživači sigurnosti iz Talentovana osoba izjavio je da su male skupine korisnika još uvijek potencijalno izložene i da bi trebale poduzeti određene korisničke radnje kako bi zaštitile svoje aplikacije.
Pojedinosti o ovom procesu mogu se pronaći u nekoliko obavijesti e-poštom koje je Microsoft izdao u razdoblju od 7. do 15. prosinca 2021.
Istraživači su testirali svoju teoriju da je nesigurno zadano ponašanje u Azure App Service Linuxu vjerojatno iskorišteno u divljini implementacijom njihove vlastite ranjive aplikacije.
I, nakon samo četiri dana, vidjeli su prve pokušaje aktera prijetnji da pristupe sadržaju otkrivene mape izvornog koda.
Iako bi to moglo ukazivati na to da napadači već znaju za to Nije Legit nedostatak i pokušaj pronalaženja izvornog koda aplikacija Azure App Servicea, ova skeniranja se također mogu objasniti kao uobičajena skeniranja otkrivenih .git mapa.
Zlonamjerne treće strane dobile su pristup datotekama koje pripadaju organizacijama visokog profila nakon što su pronašle javne .git mape, tako da je zapravo nije pitanje da li, jest više od a kada pitanje.
Zahvaćene aplikacije Azure App Service uključuju sve PHP, Node, Python, Ruby i Java aplikacije kodirane za posluživanje statički sadržaj ako se implementira pomoću lokalnog Gita na čistoj zadanoj aplikaciji u usluzi Azure App Service počevši od 2013.
Ili, ako se implementira u Azure App Service od 2013. koristeći bilo koji Git izvor, nakon što je datoteka stvorena ili izmijenjena u spremniku aplikacije.
Microsoft priznato informacije, a tim usluge Azure App Service, zajedno s MSRC-om, već su primijenili popravak osmišljen tako da pokrije najugroženije kupce i upozorio sve korisnike koji su još uvijek izloženi nakon omogućavanja implementacije na mjestu ili učitavanja mape .git u sadržaj imenik.
Male skupine kupaca još uvijek su potencijalno izložene i trebale bi poduzeti određene radnje korisnika kako bi ih zaštitile njihove aplikacije, kao što je detaljno navedeno u nekoliko obavijesti e-poštom koje je Microsoft izdao između 7. – 15. prosinca, 2021.
Tehnološki div sa sjedištem u Redmondu ublažio je nedostatak ažuriranjem PHP slika kako bi se onemogućilo posluživanje mape .git kao statičkog sadržaja.
Dokumentacija usluge Azure App Service također je ažurirana novim odjeljkom o ispravnosti osiguravanje izvornog koda aplikacija i implementacije na mjestu.
Ako želite saznati više o sigurnosnom nedostatku NotLegit, rok za otkrivanje podataka možete pronaći u Microsoftov blog post.
Što mislite o cijeloj ovoj situaciji? Podijelite svoje mišljenje s nama u odjeljku za komentare ispod.
