Niedawno luka w zabezpieczeniach znaleziona w Azure App Service, platformie zarządzanej przez firmę Microsoft do tworzenia i hostowania aplikacji internetowych, doprowadziła do ujawnienia kodu źródłowego klienta w językach PHP, Node, Python, Ruby lub Java.
Jeszcze bardziej niepokojące jest to, że dzieje się tak od co najmniej czterech lat, od 2017 roku.
Problem ten dotyczył również klientów Azure App Service Linux, podczas gdy aplikacje oparte na usługach IIS wdrożone przez klientów Azure App Service Windows nie zostały dotknięte.
Badacze bezpieczeństwa ostrzegli Microsoft przed niebezpieczną usterką
Badacze bezpieczeństwa z Czarodziej stwierdził, że małe grupy klientów są nadal potencjalnie narażone i powinny podejmować określone działania użytkowników w celu ochrony swoich aplikacji.
Szczegóły dotyczące tego procesu można znaleźć w kilku alertach e-mail, które firma Microsoft wydała w dniach 7-15 grudnia 2021 r.
Badacze przetestowali swoją teorię, że niepewne domyślne zachowanie w Azure App Service Linux było prawdopodobnie wykorzystywane na wolności, wdrażając własną podatną na ataki aplikację.
A już po czterech dniach widzieli pierwsze próby uzyskania przez cyberprzestępców dostępu do zawartości ujawnionego folderu z kodem źródłowym.
Nawet jeśli może to wskazywać na to, że napastnicy już wiedzą o NotLegit błąd i próbując znaleźć ujawniony kod źródłowy aplikacji Azure App Service, te skanowania można również wyjaśnić jako normalne skanowanie w poszukiwaniu ujawnionych folderów .git.
Złośliwe strony trzecie uzyskały dostęp do plików należących do znanych organizacji po znalezieniu publicznych folderów .git, więc jest to tak naprawdę nie jest to pytanie, czy to więcej Kiedy pytanie.
Aplikacje usługi Azure App Service, których dotyczy problem, obejmują wszystkie aplikacje PHP, Node, Python, Ruby i Java zakodowane w celu obsługi zawartość statyczna, jeśli została wdrożona przy użyciu usługi Local Git w czystej aplikacji domyślnej w usłudze Azure App Service, zaczynając od 2013.
Lub, jeśli wdrożono w Azure App Service od 2013 r. przy użyciu dowolnego źródła Git, po utworzeniu lub zmodyfikowaniu pliku w kontenerze aplikacji.
Microsoft uznany informacje, a zespół Azure App Service wraz z MSRC zastosował już poprawkę zaprojektowaną w celu pokrycia najbardziej dotkniętych klientów i ostrzegł wszystkich klientów nadal narażonych po włączeniu wdrożenia w miejscu lub przesłaniu folderu .git do zawartości informator.
Małe grupy klientów są nadal potencjalnie narażone i powinny podejmować określone działania użytkowników w celu ochrony ich aplikacje, jak wyszczególniono w kilku alertach e-mail, które firma Microsoft wydała między 7 a 15 grudnia, 2021.
Gigant technologiczny z Redmond złagodził tę lukę, aktualizując obrazy PHP, aby uniemożliwić udostępnianie folderu .git jako zawartości statycznej.
Dokumentacja Azure App Service została również zaktualizowana o nową sekcję dotyczącą prawidłowego zabezpieczanie kodu źródłowego aplikacji oraz wdrożenia na miejscu.
Jeśli chcesz dowiedzieć się więcej o luce bezpieczeństwa NotLegit, oś czasu ujawnienia można znaleźć w Wpis na blogu Microsoft.
Jak oceniasz tę całą sytuację? Podziel się z nami swoją opinią w sekcji komentarzy poniżej.
