A közelmúltban az Azure App Service – a webalkalmazások létrehozására és üzemeltetésére szolgáló Microsoft által felügyelt platform – biztonsági hibája a PHP, a Node, a Python, a Ruby vagy a Java ügyfélforráskódok megjelenéséhez vezetett.
Ami még ennél is aggasztóbb, hogy ez már legalább négy éve, 2017 óta megtörténik.
Ez a probléma az Azure App Service Linux-ügyfeleit is érintette, míg az Azure App Service Windows-ügyfelei által telepített IIS-alapú alkalmazásokat nem érintette.
A biztonsági kutatók veszélyes hibára figyelmeztették a Microsoftot
Biztonsági kutatók Wiz kijelentette, hogy az ügyfelek kis csoportjai továbbra is potenciálisan ki vannak téve, és meg kell tenniük bizonyos felhasználói lépéseket alkalmazásaik védelme érdekében.
A folyamat részletei megtalálhatók a Microsoft által 2021. december 7. és 15. között kiadott több e-mailben.
A kutatók tesztelték elméletüket, miszerint az Azure App Service Linux nem biztonságos alapértelmezett viselkedését valószínűleg a vadonban használták ki saját sebezhető alkalmazásuk üzembe helyezésével.
És mindössze négy nap elteltével látták a fenyegetés szereplőinek első kísérleteit, hogy hozzáférjenek a kitett forráskódmappa tartalmához.
Még akkor is, ha ez arra utalhat, hogy a támadók már ismerik a Not Legit hibája, és megpróbálja megtalálni az Azure App Service-alkalmazások forráskódját, ezek a vizsgálatok a kitett .git mappák normál vizsgálataiként is magyarázhatók.
Rosszindulatú harmadik felek hozzáférést nyertek a nagy horderejű szervezetekhez tartozó fájlokhoz, miután nyilvános .git mappákat találtak, így igazából nem az a kérdés, hogy van-e, hanem az inkább a mikor kérdés.
Az érintett Azure App Service-alkalmazások közé tartozik az összes kiszolgálásra kódolt PHP, Node, Python, Ruby és Java alkalmazás statikus tartalom, ha a Helyi Git használatával van üzembe helyezve az Azure App Service tiszta alapértelmezett alkalmazásában, kezdve a következővel 2013.
Vagy ha az Azure App Service szolgáltatásban 2013 óta van üzembe helyezve bármely Git-forrás használatával, egy fájl létrehozása vagy módosítása után az alkalmazástárolóban.
Microsoft elismert az információ, és az Azure App Service csapata, valamint az MSRC már alkalmazott egy javítást, amely a leginkább érintett ügyfeleket, és értesítette az összes olyan ügyfelet, akik még mindig ki vannak téve a helyszíni telepítés engedélyezése vagy a .git mappa tartalomba való feltöltése után Könyvtár.
Az ügyfelek kis csoportjai továbbra is potenciálisan ki vannak téve a veszélynek, és meg kell tenniük bizonyos felhasználói lépéseket a védelem érdekében alkalmazásaikról, amint azt a Microsoft több, december 7. és 15. között kiadott e-mailben is részletezte, 2021.
A redmondi központú technológiai óriás a PHP-képek frissítésével enyhítette a hibát, és nem engedélyezte a .git mappa statikus tartalomként való kiszolgálását.
Az Azure App Service dokumentációja is frissült egy új, megfelelő szakaszsal az alkalmazások forráskódjának biztosítása és helyszíni telepítések.
Ha többet szeretne megtudni a NotLegit biztonsági hibáról, a közzétételi idővonalat megtalálja A Microsoft blogbejegyzése.
Mi a véleményed erről az egész helyzetről? Ossza meg véleményét velünk az alábbi megjegyzések részben.
