Nylig førte en sikkerhetsfeil funnet i Azure App Service, en Microsoft-administrert plattform for å bygge og hoste webapper, til eksponering av PHP, Node, Python, Ruby eller Java-kundekildekode.
Det som er enda mer bekymringsfullt enn det, er at dette har skjedd i minst fire år, siden 2017.
Azure App Service Linux-kunder ble også berørt av dette problemet, mens IIS-baserte applikasjoner distribuert av Azure App Service Windows-kunder ikke ble berørt.
Sikkerhetsforskere advarte Microsoft om farlige feil
Sikkerhetsforskere fra Wiz uttalt at små grupper av kunder fortsatt er potensielt utsatt og bør ta visse brukerhandlinger for å beskytte applikasjonene sine.
Detaljer om denne prosessen finnes i flere e-postvarsler som Microsoft sendte ut mellom 7. – 15. desember 2021.
Forskerne testet teorien deres om at den usikre standardoppførselen i Azure App Service Linux sannsynligvis ble utnyttet i naturen ved å distribuere deres egen sårbare app.
Og etter bare fire dager så de de første forsøkene gjort av trusselaktører for å få tilgang til innholdet i den eksponerte kildekodemappen.
Selv om dette kan peke på at angripere allerede vet om Ikke Legit feil og prøver å finne kildekoden til eksponerte Azure App Service-apper, kan disse skanningene også forklares som normale skanninger for eksponerte .git-mapper.
Ondsinnede tredjeparter har fått tilgang til filer som tilhører høyprofilerte organisasjoner etter å ha funnet offentlige .git-mapper, så det er egentlig ikke et spørsmål om, det er det mer av en når spørsmål.
De berørte Azure App Service-appene inkluderer alle PHP-, Node-, Python-, Ruby- og Java-apper som er kodet for å tjene statisk innhold hvis det distribueres ved hjelp av Local Git på en ren standardapplikasjon i Azure App Service som starter med 2013.
Eller, hvis den er distribuert i Azure App Service siden 2013 med en hvilken som helst Git-kilde, etter at en fil ble opprettet eller endret i appbeholderen.
Microsoft anerkjente informasjonen, og Azure App Service-teamet, sammen med MSRC, har allerede tatt i bruk en rettelse designet for å dekke de mest berørte kunder og varslet alle kunder som fortsatt var eksponert etter å ha aktivert distribusjon på stedet eller lastet opp .git-mappen til innholdet katalog.
Små grupper av kunder er fortsatt potensielt utsatt og bør ta visse brukerhandlinger for å beskytte applikasjonene deres, som beskrevet i flere e-postvarsler som Microsoft utstedte mellom 7. – 15. desember, 2021.
Den Redmond-baserte teknologigiganten dempet feilen ved å oppdatere PHP-bilder for å ikke tillate visning av .git-mappen som statisk innhold.
Azure App Service-dokumentasjonen ble også oppdatert med en ny del om riktig sikre appenes kildekode og utplasseringer på stedet.
Hvis du vil vite mer om NotLegit-sikkerhetsfeilen, kan du finne en tidslinje for avsløring i Microsofts blogginnlegg.
Hva synes du om hele denne situasjonen? Del din mening med oss i kommentarfeltet nedenfor.
