Baru-baru ini, kelemahan keamanan yang ditemukan di Azure App Service, platform yang dikelola Microsoft untuk membangun dan menghosting aplikasi web, menyebabkan terbukanya kode sumber pelanggan PHP, Node, Python, Ruby, atau Java.
Yang lebih mengkhawatirkan dari itu, adalah bahwa ini telah terjadi setidaknya selama empat tahun, sejak 2017.
Pelanggan Azure App Service Linux juga terpengaruh oleh masalah ini, sementara aplikasi berbasis IIS yang disebarkan oleh pelanggan Windows Azure App Service tidak terpengaruh.
Peneliti keamanan memperingatkan Microsoft tentang kelemahan berbahaya
Peneliti keamanan dari Ahli menyatakan bahwa sekelompok kecil pelanggan masih berpotensi terpapar dan harus mengambil tindakan pengguna tertentu untuk melindungi aplikasi mereka.
Detail tentang proses ini dapat ditemukan di beberapa email peringatan yang dikeluarkan Microsoft antara tanggal 7 – 15 Desember 2021.
Para peneliti menguji teori mereka bahwa perilaku default tidak aman di Azure App Service Linux kemungkinan dieksploitasi secara liar dengan menyebarkan aplikasi rentan mereka sendiri.
Dan, setelah hanya empat hari, mereka melihat upaya pertama yang dilakukan oleh pelaku ancaman untuk mengakses konten folder kode sumber yang diekspos.
Meskipun ini bisa menunjukkan penyerang sudah mengetahuinya Tidak Sah cacat dan mencoba menemukan kode sumber aplikasi Azure App Service yang terbuka, pemindaian ini juga dapat dijelaskan sebagai pemindaian normal untuk folder .git yang terbuka.
Pihak ketiga yang berbahaya telah memperoleh akses ke file milik organisasi terkenal setelah menemukan folder .git publik, jadi ini bukan pertanyaan jika, itu lebih dari Kapan pertanyaan.
Aplikasi Azure App Service yang terpengaruh mencakup semua aplikasi PHP, Node, Python, Ruby, dan Java yang dikodekan untuk melayani konten statis jika digunakan menggunakan Git Lokal pada aplikasi default bersih di Layanan Aplikasi Azure dimulai dengan 2013.
Atau, jika diterapkan di Azure App Service sejak 2013 menggunakan sumber Git apa pun, setelah file dibuat atau dimodifikasi dalam wadah aplikasi.
Microsoft diakui informasi, dan tim Layanan Aplikasi Azure, bersama dengan MSRC telah menerapkan perbaikan yang dirancang untuk mencakup yang paling terkena dampak pelanggan dan memperingatkan semua pelanggan yang masih terpapar setelah mengaktifkan penerapan di tempat atau mengunggah folder .git ke konten direktori.
Kelompok kecil pelanggan masih berpotensi terpapar dan harus mengambil tindakan pengguna tertentu untuk melindungi aplikasi mereka, sebagaimana dirinci dalam beberapa peringatan email yang dikeluarkan Microsoft antara tanggal 7 – 15 Desember, 2021.
Raksasa teknologi yang berbasis di Redmond mengurangi kekurangan tersebut dengan memperbarui gambar PHP untuk melarang penyajian folder .git sebagai konten statis.
Dokumentasi Layanan Aplikasi Azure juga diperbarui dengan bagian baru dengan benar mengamankan kode sumber aplikasi dan penyebaran di tempat.
Jika Anda ingin tahu lebih banyak tentang kelemahan keamanan NotLegit, garis waktu pengungkapan dapat ditemukan di Postingan blog Microsoft.
Apa pendapat Anda tentang seluruh situasi ini? Bagikan pendapat Anda dengan kami di bagian komentar di bawah.
![Unzugängliches Startgerät di Windows 11 [Fehlerbehebung]](/f/b610b2379b66fd8e285ff7d4415bcfd5.jpg?width=300&height=460)
