Di recente, un difetto di sicurezza riscontrato nel servizio app di Azure, una piattaforma gestita da Microsoft per la creazione e l'hosting di app Web, ha portato all'esposizione del codice sorgente dei clienti PHP, Node, Python, Ruby o Java.
Ciò che è ancora più preoccupante è che ciò accade da almeno quattro anni, dal 2017.
Anche i clienti di Azure App Service Linux sono stati interessati da questo problema, mentre le applicazioni basate su IIS distribuite dai clienti di Azure App Service Windows non sono state interessate.
I ricercatori della sicurezza hanno avvertito Microsoft di un pericoloso difetto
Ricercatori di sicurezza da Wiz ha affermato che piccoli gruppi di clienti sono ancora potenzialmente esposti e dovrebbero intraprendere determinate azioni da parte dell'utente per proteggere le proprie applicazioni.
I dettagli su questo processo sono disponibili in diversi avvisi e-mail che Microsoft ha emesso tra il 7 e il 15 dicembre 2021.
I ricercatori hanno testato la loro teoria secondo cui il comportamento predefinito non sicuro in Azure App Service Linux è stato probabilmente sfruttato in natura distribuendo la propria app vulnerabile.
E, dopo soli quattro giorni, hanno visto i primi tentativi fatti dagli autori delle minacce per accedere al contenuto della cartella del codice sorgente esposto.
Anche se questo potrebbe indicare che gli aggressori sono già a conoscenza del Non legittimo difetto e cercando di trovare il codice sorgente delle app del servizio app di Azure esposte, queste scansioni potrebbero anche essere spiegate come normali scansioni per le cartelle .git esposte.
Terze parti dannose hanno ottenuto l'accesso a file appartenenti a organizzazioni di alto profilo dopo aver trovato cartelle .git pubbliche, quindi è non è proprio una questione di se, è più di un quando domanda.
Le applicazioni del servizio app di Azure interessate includono tutte le app PHP, Node, Python, Ruby e Java codificate per servire contenuto statico se distribuito tramite Git locale su un'applicazione predefinita pulita nel servizio app di Azure che inizia con 2013.
Oppure, se distribuito nel Servizio app di Azure dal 2013 usando qualsiasi origine Git, dopo che un file è stato creato o modificato nel contenitore dell'app.
Microsoft riconosciuto le informazioni e il team del servizio app di Azure, insieme a MSRC, hanno già applicato una correzione progettata per coprire le aree più colpite clienti e ha avvisato tutti i clienti ancora esposti dopo aver abilitato la distribuzione sul posto o aver caricato la cartella .git nel contenuto directory.
Piccoli gruppi di clienti sono ancora potenzialmente esposti e dovrebbero intraprendere determinate azioni da parte dell'utente per proteggersi loro applicazioni, come dettagliato in diversi avvisi e-mail Microsoft emessi tra il 7 e il 15 dicembre, 2021.
Il gigante della tecnologia con sede a Redmond ha mitigato il difetto aggiornando le immagini PHP per impedire di servire la cartella .git come contenuto statico.
Anche la documentazione del Servizio app di Azure è stata aggiornata con una nuova sezione sul corretto protezione del codice sorgente delle app e implementazioni sul posto.
Se vuoi saperne di più sulla falla di sicurezza di NotLegit, puoi trovare una timeline di divulgazione in Post sul blog di Microsoft.
Qual è la tua opinione su tutta questa situazione? Condividi la tua opinione con noi nella sezione commenti qui sotto.
![4 migliori kit di robotica per adulti da acquistare [Guida 2020]](/f/295427264b325c1e4a9451453b67984c.jpg?width=300&height=460)