ცოტა ხნის წინ, უსაფრთხოების ხარვეზმა, რომელიც ნაპოვნი იქნა Azure App Service-ში, Microsoft-ის მიერ მართულ პლატფორმაზე ვებ აპლიკაციების შესაქმნელად და ჰოსტინგისთვის, გამოიწვია PHP, Node, Python, Ruby ან Java მომხმარებლის წყაროს კოდის გამოვლენა.
ამაზე უფრო შემაშფოთებელი ის არის, რომ ეს ხდება სულ მცირე ოთხი წლის განმავლობაში, 2017 წლიდან.
Azure App Service Linux-ის მომხმარებლებზე ასევე დაზარალდნენ ეს საკითხი, ხოლო IIS-ზე დაფუძნებული აპლიკაციები, რომლებიც განლაგებულია Azure App Service Windows-ის კლიენტების მიერ.
უსაფრთხოების მკვლევარებმა გააფრთხილეს Microsoft საშიში ხარვეზის შესახებ
უსაფრთხოების მკვლევარები ვიზ განაცხადა, რომ მომხმარებელთა მცირე ჯგუფები ჯერ კიდევ პოტენციურად დაუცველნი არიან და უნდა განახორციელონ მომხმარებლის გარკვეული ქმედებები მათი აპლიკაციების დასაცავად.
ამ პროცესის შესახებ დეტალები შეგიძლიათ იხილოთ Microsoft-ის რამდენიმე ელფოსტის გაფრთხილებაში, რომელიც გამოქვეყნდა 2021 წლის 7-15 დეკემბერს შორის.
მკვლევარებმა გამოსცადეს თავიანთი თეორია, რომ დაუცველი ნაგულისხმევი ქცევა Azure App Service Linux-ში, სავარაუდოდ, გამოიყენებოდა ველურში საკუთარი დაუცველი აპლიკაციის განლაგებით.
და, მხოლოდ ოთხი დღის შემდეგ, მათ დაინახეს პირველი მცდელობები, რომლებიც გაკეთდა საფრთხის მოქმედი პირების მიერ, წვდომა გამოაშკარავებული კოდის საქაღალდეში.
მიუხედავად იმისა, რომ ეს შეიძლება მიუთითებდეს, რომ თავდამსხმელებმა უკვე იცოდნენ ამის შესახებ NotLegit ხარვეზი და მცდელობა იპოვოთ ღია Azure App Service აპების წყაროს კოდი, ეს სკანირება ასევე შეიძლება აიხსნას, როგორც ჩვეულებრივი სკანირება ღია .git საქაღალდეებისთვის.
მავნე მესამე მხარეებმა მიიღეს წვდომა მაღალი დონის ორგანიზაციების კუთვნილ ფაილებზე საჯარო .git საქაღალდეების პოვნის შემდეგ, ასე რომ, ნამდვილად არ არის კითხვა, თუ, ეს არის მეტი ა როდესაც კითხვა.
დაზარალებული Azure App Service აპლიკაციები მოიცავს ყველა PHP, Node, Python, Ruby და Java აპს, რომლებიც კოდირებულია სერვისისთვის. სტატიკური შინაარსი, თუ განლაგებულია Local Git-ის გამოყენებით სუფთა ნაგულისხმევ აპლიკაციაზე Azure App Service-ში დაწყებული 2013.
ან, თუ განლაგებულია Azure App Service-ში 2013 წლიდან Git-ის ნებისმიერი წყაროს გამოყენებით, მას შემდეგ, რაც ფაილი შეიქმნა ან შეიცვალა აპის კონტეინერში.
მაიკროსოფტი აღიარა ინფორმაცია და Azure App Service-ის გუნდმა, MSRC-თან ერთად უკვე გამოიყენეს შესწორება, რომელიც შექმნილია ყველაზე მეტად დაზარალებულთა დასაფარად კლიენტები და გააფრთხილეს ყველა კლიენტი, რომელიც ჯერ კიდევ იყო გამოვლენილი ადგილზე განლაგების ჩართვის ან .git საქაღალდის კონტენტში ატვირთვის შემდეგ დირექტორია.
მომხმარებელთა მცირე ჯგუფები კვლავ პოტენციურად გამოვლენილი არიან და უნდა მიიღონ გარკვეული ზომები მომხმარებლის დასაცავად მათი აპლიკაციები, როგორც დეტალურად არის აღწერილი Microsoft-ის ელ.ფოსტის შეტყობინებებში, რომლებიც გაცემულია 7-დან 15 დეკემბრის ჩათვლით, 2021.
რედმონდზე დაფუძნებულმა ტექნოლოგიურმა გიგანტმა შეამსუბუქა ხარვეზი PHP სურათების განახლებით, რათა აკრძალულიყო .git საქაღალდის სტატიკური შინაარსის გამოყენება.
Azure App Service დოკუმენტაცია ასევე განახლდა ახალი განყოფილებით სათანადოდ აპების წყაროს კოდის დაცვა და ადგილზე განლაგება.
თუ გსურთ მეტი იცოდეთ NotLegit უსაფრთხოების ხარვეზის შესახებ, გამჟღავნების ვადები შეგიძლიათ იხილოთ აქ Microsoft-ის ბლოგის პოსტი.
როგორია თქვენი შეხედულება მთელ ამ სიტუაციაზე? გაგვიზიარეთ თქვენი აზრი ჩვენთან კომენტარების განყოფილებაში ქვემოთ.
