Azure App Serviceの脆弱性により、顧客のソースコードが公開される

最近、Webアプリを構築およびホストするためのMicrosoftが管理するプラットフォームであるAzure App Serviceにセキュリティ上の欠陥が見つかり、PHP、Node、Python、Ruby、またはJavaの顧客ソースコードが公開されました。

それよりもさらに心配なのは、これが2017年から少なくとも4年間続いていることです。

Azure App Service Linuxのお客様もこの問題の影響を受けましたが、Azure App ServiceWindowsのお客様がデプロイしたIISベースのアプリケーションは影響を受けませんでした。

セキュリティ研究者はマイクロソフトに危険な欠陥について警告した

からのセキュリティ研究者 ウィズ 顧客の小グループは依然として潜在的に公開されており、アプリケーションを保護するために特定のユーザーアクションを実行する必要があると述べました。

このプロセスの詳細は、2021年12月7日から15日の間にマイクロソフトが発行したいくつかの電子メールアラートに記載されています。

研究者は、Azure App Service Linuxの安全でないデフォルトの動作が、独自の脆弱なアプリをデプロイすることによって実際に悪用された可能性があるという理論をテストしました。

そして、わずか4日後、攻撃者が公開されたソースコードフォルダのコンテンツにアクセスしようとする最初の試みを目にしました。

これは、攻撃者がすでに知っていることを示している可能性がありますが NotLegit 欠陥があり、公開されたAzure App Serviceアプリのソースコードを見つけようとすると、これらのスキャンは、公開された.gitフォルダーの通常のスキャンとして説明することもできます。

悪意のあるサードパーティは、公開されている.gitフォルダを見つけた後、有名な組織に属するファイルにアクセスできるようになりました。 本当の問題ではありません もっと いつ 質問。

影響を受けるAzureApp Serviceアプリケーションには、サービスを提供するようにコード化されたすべてのPHP、Node、Python、Ruby、およびJavaアプリが含まれます Azure AppServiceのクリーンなデフォルトアプリケーションにLocalGitを使用してデプロイされた場合の静的コンテンツ 2013.

または、2013年以降にGitソースを使用してAzure App Serviceにデプロイされた場合、アプリコンテナーでファイルが作成または変更された後。

マイクロソフト 認められた 情報、およびAzure App Serviceチームは、MSRCとともに、最も影響を受けるものをカバーするように設計された修正を既に適用しています。 顧客と、インプレース展開を有効にした後、または.gitフォルダーをコンテンツにアップロードした後もまだ公開されているすべての顧客に警告しました ディレクトリ。

顧客の小グループは依然として潜在的に公開されており、保護するために特定のユーザーアクションを実行する必要があります マイクロソフトが12月7日から15日の間に発行したいくつかの電子メールアラートに詳述されているように、それらのアプリケーションは、 2021.

レドモンドを拠点とする技術大手は、PHPイメージを更新して、.gitフォルダーを静的コンテンツとして提供できないようにすることでこの欠陥を軽減しました。

Azure App Serviceのドキュメントも更新され、適切なセクションが追加されました。 アプリのソースコードを保護する と インプレース展開.

NotLegitのセキュリティ上の欠陥について詳しく知りたい場合は、開示のタイムラインを以下に示します。 Microsoftのブログ投稿.

この状況全体についてどう思いますか？ 以下のコメントセクションで私たちとあなたの意見を共有してください。