Onlangs heeft een beveiligingslek gevonden in de Azure App Service, een door Microsoft beheerd platform voor het bouwen en hosten van web-apps, geleid tot de onthulling van PHP-, Node-, Python-, Ruby- of Java-klantbroncode.
Wat nog zorgwekkender is, is dat dit al minstens vier jaar gebeurt, sinds 2017.
Azure App Service Linux-klanten werden ook getroffen door dit probleem, terwijl IIS-gebaseerde toepassingen die werden geïmplementeerd door Azure App Service Windows-klanten niet werden getroffen.
Beveiligingsonderzoekers waarschuwden Microsoft voor gevaarlijke fout
Beveiligingsonderzoekers uit Wiz verklaarde dat kleine groepen klanten nog steeds potentieel worden blootgesteld en bepaalde gebruikersacties moeten ondernemen om hun applicaties te beschermen.
Details over dit proces zijn te vinden in verschillende e-mailwaarschuwingen die Microsoft heeft uitgegeven tussen 7 en 15 december 2021.
De onderzoekers testten hun theorie dat het onveilige standaardgedrag in Azure App Service Linux waarschijnlijk in het wild werd uitgebuit door hun eigen kwetsbare app te implementeren.
En na slechts vier dagen zagen ze de eerste pogingen van bedreigingsactoren om toegang te krijgen tot de inhoud van de blootgestelde broncodemap.
Ook al zou dit erop kunnen wijzen dat aanvallers al op de hoogte zijn van de niet legitiem fout en proberen de broncode van blootgestelde Azure App Service-apps te vinden, kunnen deze scans ook worden uitgelegd als normale scans voor blootgestelde .git-mappen.
Kwaadwillende derden hebben toegang gekregen tot bestanden van vooraanstaande organisaties na het vinden van openbare .git-mappen, dus het is niet echt een kwestie van of, het is meer van een wanneer ondervragen.
De betrokken Azure App Service-applicaties omvatten alle PHP-, Node-, Python-, Ruby- en Java-apps die zijn gecodeerd om te dienen statische inhoud indien geïmplementeerd met behulp van Local Git op een schone standaardtoepassing in Azure App Service, beginnend met 2013.
Of, indien geïmplementeerd in Azure App Service sinds 2013 met behulp van een Git-bron, nadat een bestand is gemaakt of gewijzigd in de app-container.
Microsoft erkend de informatie, en het Azure App Service-team, samen met MSRC hebben al een oplossing toegepast die is ontworpen om de meest getroffenen te dekken klanten en waarschuwde alle klanten die nog steeds zichtbaar waren na het inschakelen van in-place implementatie of het uploaden van de .git-map naar de inhoud map.
Kleine groepen klanten worden nog steeds mogelijk blootgesteld en moeten bepaalde gebruikersacties ondernemen om te beschermen hun toepassingen, zoals beschreven in verschillende e-mailwaarschuwingen die Microsoft tussen 7 en 15 december heeft uitgegeven, 2021.
De in Redmond gevestigde techgigant verzachtte de fout door PHP-afbeeldingen bij te werken om te voorkomen dat de .git-map als statische inhoud wordt weergegeven.
De Azure App Service-documentatie is ook bijgewerkt met een nieuwe sectie over correct de broncode van apps beveiligen en implementaties ter plaatse.
Als u meer wilt weten over de NotLegit-beveiligingsfout, kunt u een tijdlijn voor openbaarmaking vinden in: De blogpost van Microsoft.
Wat is uw mening over deze hele situatie? Deel uw mening met ons in de opmerkingen hieronder.
