Recentemente, uma falha de segurança encontrada no Azure App Service, uma plataforma gerenciada pela Microsoft para criar e hospedar aplicativos da web, levou à exposição de código-fonte do cliente PHP, Node, Python, Ruby ou Java.
O que é ainda mais preocupante do que isso, é que isso vem acontecendo há pelo menos quatro anos, desde 2017.
Os clientes do Azure App Service Linux também foram afetados por esse problema, enquanto os aplicativos baseados em IIS implantados por clientes do Azure App Service do Windows não foram afetados.
Pesquisadores de segurança alertaram a Microsoft sobre falha perigosa
Pesquisadores de segurança de Wiz afirmou que pequenos grupos de clientes ainda estão potencialmente expostos e devem tomar certas ações do usuário para proteger seus aplicativos.
Detalhes sobre este processo podem ser encontrados em vários alertas por e-mail emitidos pela Microsoft entre 7 e 15 de dezembro de 2021.
Os pesquisadores testaram sua teoria de que o comportamento padrão inseguro no Azure App Service Linux provavelmente foi explorado em liberdade, implantando seu próprio aplicativo vulnerável.
E, depois de apenas quatro dias, eles viram as primeiras tentativas feitas por atores de ameaças de acessar o conteúdo da pasta de código-fonte exposta.
Mesmo que isso possa apontar para os invasores já sabendo do NotLegit falha e tentar encontrar o código-fonte dos aplicativos do Serviço de Aplicativo do Azure expostos, essas verificações também podem ser explicadas como verificações normais de pastas .git expostas.
Terceiros mal-intencionados obtiveram acesso a arquivos pertencentes a organizações de alto nível depois de encontrar pastas públicas .git, então é não é realmente uma questão de se, é mais de um quando pergunta.
Os aplicativos afetados do Serviço de Aplicativo do Azure incluem todos os aplicativos PHP, Node, Python, Ruby e Java codificados para servir conteúdo estático se implantado usando Git Local em um aplicativo padrão limpo no Serviço de Aplicativo do Azure começando com 2013.
Ou, se implantado no Serviço de Aplicativo do Azure desde 2013 usando qualquer fonte Git, depois que um arquivo foi criado ou modificado no contêiner do aplicativo.
Microsoft reconhecido as informações e a equipe do Serviço de Aplicativo do Azure, junto com o MSRC, já aplicou uma correção projetada para cobrir os mais afetados clientes e alertou todos os clientes ainda expostos após habilitar a implantação no local ou enviar a pasta .git para o conteúdo diretório.
Pequenos grupos de clientes ainda estão potencialmente expostos e devem tomar certas ações do usuário para proteger suas aplicações, conforme detalhado em vários alertas por e-mail que a Microsoft emitiu entre os dias 7 e 15 de dezembro, 2021.
O gigante da tecnologia com base em Redmond mitigou a falha atualizando as imagens PHP para impedir a exibição da pasta .git como conteúdo estático.
A documentação do Serviço de Aplicativo do Azure também foi atualizada com uma nova seção sobre protegendo o código-fonte dos aplicativos e implantações no local.
Se você quiser saber mais sobre a falha de segurança NotLegit, um cronograma de divulgação pode ser encontrado em Postagem do blog da Microsoft.
Qual é a sua opinião sobre toda essa situação? Compartilhe sua opinião conosco na seção de comentários abaixo.
