Недавно недостаток безопасности, обнаруженный в службе приложений Azure, управляемой Microsoft платформе для создания и размещения веб-приложений, привел к раскрытию исходного кода клиентов PHP, Node, Python, Ruby или Java.
Что еще более беспокоит, так это то, что это происходит как минимум четыре года, с 2017 года.
Эта проблема также затронула клиентов службы приложений Azure для Linux, в то время как приложения на основе IIS, развернутые клиентами службы приложений Azure для Windows, не пострадали.
Исследователи безопасности предупредили Microsoft об опасной уязвимости
Исследователи безопасности из Wiz заявил, что небольшие группы клиентов все еще потенциально уязвимы и должны предпринимать определенные действия для защиты своих приложений.
Подробности об этом процессе можно найти в нескольких электронных сообщениях Microsoft, выпущенных в период с 7 по 15 декабря 2021 года.
Исследователи проверили свою теорию о том, что небезопасное поведение по умолчанию в службе приложений Azure Linux, вероятно, использовалось в дикой природе путем развертывания их собственного уязвимого приложения.
И всего через четыре дня они увидели первые попытки злоумышленников получить доступ к содержимому открытой папки с исходным кодом.
Хотя это может указывать на то, что злоумышленники уже знают о NotLegit недостаток и попытки найти исходный код открытых приложений службы приложений Azure, эти проверки также можно объяснить как обычное сканирование открытых папок .git.
Вредоносные третьи стороны получили доступ к файлам, принадлежащим известным организациям, после обнаружения общедоступных папок .git, так что это не совсем вопрос, если, это больше когда вопрос.
Затронутые приложения службы приложений Azure включают все приложения PHP, Node, Python, Ruby и Java, закодированные для обслуживания. статический контент при развертывании с использованием локального Git в чистом приложении по умолчанию в Службе приложений Azure, начиная с 2013.
Или, если он развернут в службе приложений Azure с 2013 года с использованием любого источника Git, после того, как файл был создан или изменен в контейнере приложения.
Microsoft признал информацию, и команда службы приложений Azure вместе с MSRC уже применили исправление, предназначенное для наиболее уязвимых клиентов и предупредил всех клиентов, которые все еще доступны после включения развертывания на месте или загрузки папки .git в контент каталог.
Небольшие группы клиентов все еще потенциально уязвимы, и им следует предпринять определенные действия для защиты. их приложения, как подробно описано в нескольких электронных сообщениях Microsoft, выпущенных в период с 7 по 15 декабря, 2021.
Технический гигант из Редмонда устранил этот недостаток, обновив образы PHP, чтобы запретить использование папки .git в качестве статического содержимого.
Документация по службе приложений Azure также была обновлена новым разделом, посвященным правильному защита исходного кода приложений и развертывания на месте.
Если вы хотите узнать больше о недостатке безопасности NotLegit, график раскрытия информации можно найти в Сообщение в блоге Microsoft.
Как вы относитесь ко всей этой ситуации? Поделитесь с нами своим мнением в разделе комментариев ниже.