Nesen tika atklāts drošības trūkums pakalpojumā Azure App Service — Microsoft pārvaldītā platformā tīmekļa lietotņu izveidei un mitināšanai, un rezultātā tika atklāts PHP, Node, Python, Ruby vai Java klienta pirmkods.
Vēl satraucošāk ir tas, ka tas notiek jau vismaz četrus gadus, kopš 2017. gada.
Šī problēma skāra arī Azure App Service Linux klientus, savukārt uz IIS balstītas lietojumprogrammas, ko izvietojuši Azure App Service Windows klienti, tas neietekmēja.
Drošības pētnieki brīdināja Microsoft par bīstamu trūkumu
Drošības pētnieki no Wiz norādīja, ka nelielas klientu grupas joprojām ir potenciāli pakļautas, un tām jāveic noteiktas lietotāja darbības, lai aizsargātu savas lietojumprogrammas.
Sīkāka informācija par šo procesu ir atrodama vairākos e-pasta brīdinājumos, ko Microsoft izdeva laikā no 2021. gada 7. līdz 15. decembrim.
Pētnieki pārbaudīja savu teoriju, ka Azure App Service Linux nedrošā noklusējuma darbība, iespējams, tika izmantota savvaļā, izvietojot savu neaizsargāto lietotni.
Un jau pēc četrām dienām viņi redzēja pirmos draudu dalībnieku mēģinājumus piekļūt atklātā pirmkoda mapes saturam.
Pat ja tas varētu norādīt uz uzbrucējiem, kas jau zina par Not Legit kļūdu un mēģinot atrast atklātu Azure App Service lietotņu avota kodu, šīs skenēšanas var arī izskaidrot kā parastu atklātu .git mapju skenēšanu.
Ļaunprātīgas trešās puses ir ieguvušas piekļuvi failiem, kas pieder augsta līmeņa organizācijām pēc publisko .git mapju atrašanas, tāpēc nav īsti jautājums par to, vai, tas ir vairāk par a kad jautājums.
Ietekmētās Azure App Service lietojumprogrammas ietver visas PHP, Node, Python, Ruby un Java lietotnes, kas ir kodētas apkalpošanai. statisks saturs, ja tas tiek izvietots, izmantojot Local Git tīrā noklusējuma lietojumprogrammā pakalpojumā Azure App Service, sākot ar 2013.
Vai arī, ja tas ir izvietots pakalpojumā Azure App Service kopš 2013. gada, izmantojot jebkuru Git avotu, pēc faila izveides vai modificēšanas lietotņu konteinerā.
Microsoft atzina informāciju, un Azure App Service komanda kopā ar MSRC jau ir piemērojuši labojumu, kas paredzēts, lai aptvertu visvairāk ietekmētās klientus un brīdināja visus klientus, kuri joprojām ir pakļauti, iespējojot izvietošanu vietā vai augšupielādējot .git mapi saturā direktoriju.
Mazas klientu grupas joprojām ir potenciāli pakļautas, un tām ir jāveic noteiktas lietotāja darbības, lai aizsargātu viņu lietojumprogrammas, kā norādīts vairākos e-pasta brīdinājumos, ko Microsoft izdeva laikā no 7. līdz 15. decembrim, 2021.
Redmondā bāzētais tehnoloģiju gigants šo trūkumu mazināja, atjauninot PHP attēlus, lai liegtu .git mapes apkalpošanu kā statisku saturu.
Arī Azure App Service dokumentācija tika atjaunināta ar jaunu sadaļu par pareizu nodrošināt lietotņu pirmkodu un izvietošana uz vietas.
Ja vēlaties uzzināt vairāk par NotLegit drošības trūkumu, izpaušanas laika grafiku var atrast Microsoft emuāra ieraksts.
Kāds ir jūsu viedoklis par visu šo situāciju? Kopīgojiet savu viedokli ar mums komentāru sadaļā zemāk.
