Recent, o defecțiune de securitate găsită în Azure App Service, o platformă gestionată de Microsoft pentru construirea și găzduirea de aplicații web, a condus la expunerea codului sursă al clientului PHP, Node, Python, Ruby sau Java.
Ceea ce este și mai îngrijorător decât atât, este că acest lucru se întâmplă de cel puțin patru ani, din 2017.
Clienții Azure App Service Linux au fost, de asemenea, afectați de această problemă, în timp ce aplicațiile bazate pe IIS implementate de clienții Azure App Service Windows nu au fost afectați.
Cercetătorii în domeniul securității au avertizat Microsoft despre o defecțiune periculoasă
Cercetători de securitate din Wiz a declarat că grupuri mici de clienți sunt încă potențial expuși și ar trebui să întreprindă anumite acțiuni ale utilizatorilor pentru a-și proteja aplicațiile.
Detalii despre acest proces pot fi găsite în mai multe alerte prin e-mail emise de Microsoft în perioada 7 – 15 decembrie 2021.
Cercetătorii și-au testat teoria conform căreia comportamentul implicit nesigur în Azure App Service Linux a fost probabil exploatat în sălbăticie prin implementarea propriei aplicații vulnerabile.
Și, după numai patru zile, au văzut primele încercări făcute de actorii amenințărilor de a accesa conținutul folderului de cod sursă expus.
Chiar dacă acest lucru ar putea indica atacatorii care știu deja despre NuLegit defect și încercând să găsească codul sursă al aplicațiilor Azure App Service expuse, aceste scanări ar putea fi explicate și ca scanări normale pentru folderele .git expuse.
Părțile terțe rău intenționate au obținut acces la fișiere aparținând organizațiilor de profil înalt după ce au găsit dosare publice .git, așa că este nu chiar este o întrebare dacă, este mai mult de a când întrebare.
Aplicațiile Azure App Service afectate includ toate aplicațiile PHP, Node, Python, Ruby și Java codificate pentru a servi conținut static dacă este implementat folosind Local Git pe o aplicație implicită curată în Azure App Service începând cu 2013.
Sau, dacă este implementat în Azure App Service din 2013 folosind orice sursă Git, după ce un fișier a fost creat sau modificat în containerul aplicației.
Microsoft recunoscut informațiile și echipa Azure App Service, împreună cu MSRC au aplicat deja o remediere concepută pentru a acoperi cei mai afectați clienții și a alertat toți clienții încă expuși după ce au activat implementarea la locul său sau au încărcat folderul .git în conținut director.
Grupuri mici de clienți sunt încă potențial expuse și ar trebui să întreprindă anumite acțiuni ale utilizatorilor pentru a le proteja aplicațiile lor, așa cum se detaliază în mai multe alerte prin e-mail emise de Microsoft în perioada 7-15 decembrie, 2021.
Gigantul tehnologic din Redmond a atenuat defectul prin actualizarea imaginilor PHP pentru a nu permite servirea folderului .git ca conținut static.
Documentația Azure App Service a fost, de asemenea, actualizată cu o nouă secțiune despre corect securizarea codului sursă al aplicațiilor și implementări în loc.
Dacă doriți să aflați mai multe despre defectul de securitate NotLegit, o cronologie de dezvăluire poate fi găsită în Postarea de blog a Microsoft.
Ce părere aveți despre toată această situație? Împărtășește-ți părerea cu noi în secțiunea de comentarii de mai jos.
