Neseniai „Azure App Service“, „Microsoft“ valdomoje žiniatinklio programoms kurti ir prieglobai skirtoje platformoje, aptiktas saugos trūkumas lėmė PHP, Node, Python, Ruby arba Java klientų šaltinio kodą.
Dar labiau nerimą kelia tai, kad tai vyksta mažiausiai ketverius metus, nuo 2017 m.
Ši problema taip pat paveikė „Azure App Service Linux“ klientus, o „Azure App Service Windows“ klientų įdiegtoms IIS pagrįstoms programoms tai neturėjo įtakos.
Saugumo tyrinėtojai perspėjo „Microsoft“ apie pavojingą trūkumą
Saugumo tyrinėtojai iš Wiz teigė, kad nedidelės klientų grupės vis dar gali būti paveiktos ir turėtų imtis tam tikrų naudotojų veiksmų, kad apsaugotų savo programas.
Išsamią informaciją apie šį procesą galima rasti keliuose el. pašto įspėjimuose, kuriuos Microsoft paskelbė 2021 m. gruodžio 7–15 d.
Tyrėjai išbandė savo teoriją, kad nesaugus numatytasis „Azure App Service Linux“ elgesys greičiausiai buvo išnaudotas laukinėje gamtoje, įdiegiant savo pažeidžiamą programą.
Ir jau po keturių dienų jie pamatė pirmuosius grėsmės veikėjų bandymus pasiekti atskleisto šaltinio kodo aplanko turinį.
Net jei tai gali reikšti, kad užpuolikai jau žino apie Neteisėta trūkumą ir bandant rasti atvirą „Azure App Service“ programų šaltinio kodą, šie nuskaitymai taip pat gali būti paaiškinti kaip įprasti .git aplankų nuskaitymai.
Kenkėjiškos trečiosios šalys, radusios viešus .git aplankus, gavo prieigą prie failų, priklausančių aukšto lygio organizacijoms, todėl tikrai ne klausimas, ar, tai yra daugiau a kada klausimas.
Paveiktos „Azure App Service“ programos apima visas PHP, Node, Python, Ruby ir Java programas, užkoduotas teikti paslaugas statinį turinį, jei jis įdiegtas naudojant „Local Git“ švarioje numatytoje „Azure App Service“ programoje, pradedant nuo 2013.
Arba, jei įdiegta „Azure App Service“ nuo 2013 m. naudojant bet kurį „Git“ šaltinį, po to, kai failas buvo sukurtas arba pakeistas programos konteineryje.
Microsoft pripažino informaciją, o „Azure App Service“ komanda kartu su MSRC jau pritaikė pataisymą, skirtą labiausiai paveiktiems klientus ir įspėjo visus klientus, kurie vis dar rodomi po to, kai įgalino diegimą vietoje arba į turinį įkėlė .git aplanką katalogas.
Mažos klientų grupės vis dar gali būti paveiktos ir turėtų imtis tam tikrų naudotojų veiksmų, kad apsaugotų jų taikomąsias programas, kaip nurodyta keliuose el. pašto įspėjimuose, kuriuos „Microsoft“ paskelbė gruodžio 7–15 d. 2021.
Redmonde įsikūrusi technologijų milžinė sumažino trūkumą atnaujindama PHP vaizdus, kad neleistų aptarnauti .git aplanko kaip statinio turinio.
„Azure App Service“ dokumentacija taip pat buvo atnaujinta įtraukiant naują skiltį tinkamai programų šaltinio kodo apsauga ir dislokavimas vietoje.
Jei norite sužinoti daugiau apie „NotLegit“ saugos trūkumą, atskleidimo laiko juostą galite rasti „Microsoft“ tinklaraščio įrašas.
Kaip vertinate visą šią situaciją? Pasidalykite savo nuomone su mumis toliau pateiktame komentarų skyriuje.
![Štai kaip išjungti „Power BI“ įkėlimą [LENGVAS VADOVAS]](/f/0ba7509ce5bb7b21fd12a79adf9925c0.jpg?width=300&height=460)