최근 웹 앱 구축 및 호스팅을 위한 Microsoft 관리 플랫폼인 Azure App Service에서 발견된 보안 결함으로 인해 PHP, Node, Python, Ruby 또는 Java 고객 소스 코드가 노출되었습니다.
그보다 더 걱정스러운 것은 2017년부터 최소 4년 동안 이런 일이 벌어지고 있다는 점이다.
Azure App Service Linux 고객도 이 문제의 영향을 받았지만 Azure App Service Windows 고객이 배포한 IIS 기반 애플리케이션은 영향을 받지 않았습니다.
보안 연구원은 Microsoft에 위험한 결함에 대해 경고했습니다.
보안 연구원 위즈 소규모 고객 그룹은 여전히 잠재적으로 노출되어 있으며 애플리케이션을 보호하기 위해 특정 사용자 조치를 취해야 한다고 말했습니다.
이 프로세스에 대한 자세한 내용은 2021년 12월 7일부터 15일 사이에 Microsoft에서 발행한 여러 전자 메일 경고에서 확인할 수 있습니다.
연구원들은 Azure App Service Linux의 안전하지 않은 기본 동작이 자체 취약한 앱을 배포하여 야생에서 악용될 가능성이 있다는 이론을 테스트했습니다.
그리고 불과 4일 만에 위협 행위자가 노출된 소스 코드 폴더의 콘텐츠에 액세스하려는 첫 번째 시도를 보았습니다.
이것은 공격자가 이미 정보를 알고 있음을 가리킬 수 있지만 불법 결함이 있고 노출된 Azure App Service 앱의 소스 코드를 찾으려고 할 때 이러한 스캔은 노출된 .git 폴더에 대한 일반 스캔으로도 설명될 수 있습니다.
악의적인 제3자가 공개 .git 폴더를 찾은 후 세간의 이목을 끄는 조직에 속한 파일에 액세스했습니다. 사실 여부에 대한 질문이 아니라 더 많은 언제 의문.
영향을 받는 Azure App Service 애플리케이션에는 서비스를 제공하도록 코딩된 모든 PHP, Node, Python, Ruby 및 Java 앱이 포함됩니다. 로 시작하는 Azure App Service의 깨끗한 기본 애플리케이션에서 로컬 Git을 사용하여 배포된 경우 정적 콘텐츠 2013.
또는 Git 소스를 사용하여 2013년 이후 Azure App Service에 배포된 경우 앱 컨테이너에서 파일이 생성되거나 수정된 후.
마이크로소프트 인정 정보 및 Azure App Service 팀은 MSRC와 함께 이미 가장 영향을 받는 문제를 다루도록 설계된 수정 사항을 적용했습니다. 인플레이스 배포를 활성화하거나 .git 폴더를 콘텐츠에 업로드한 후에도 여전히 노출된 모든 고객에게 경고했습니다. 예배 규칙서.
소규모 고객 그룹은 여전히 잠재적으로 노출되어 있으므로 보호하기 위해 특정 사용자 조치를 취해야 합니다. Microsoft가 12월 7일에서 15일 사이에 발행한 여러 전자 메일 경고에 자세히 설명된 대로 응용 프로그램, 2021.
Redmond에 기반을 둔 기술 대기업은 .git 폴더를 정적 콘텐츠로 제공하는 것을 허용하지 않도록 PHP 이미지를 업데이트하여 결함을 완화했습니다.
Azure App Service 설명서도 적절하게 새 섹션으로 업데이트되었습니다. 앱의 소스 코드 보안 그리고 인플레이스 배포.
NotLegit 보안 결함에 대해 더 알고 싶다면 공개 일정을 다음에서 찾을 수 있습니다. 마이크로소프트 블로그 포스트.
이 모든 상황에 대해 어떻게 생각하십니까? 아래 의견 섹션에서 의견을 공유하십시오.
