Nedávno zistená bezpečnostná chyba v Azure App Service, platforme spravovanej spoločnosťou Microsoft na vytváranie a hosťovanie webových aplikácií, viedla k odhaleniu zdrojových kódov zákazníkov PHP, Node, Python, Ruby alebo Java.
Čo je ešte znepokojujúcejšie, je to, že sa to deje najmenej štyri roky, od roku 2017.
Tento problém ovplyvnil aj zákazníkov Azure App Service Linux, zatiaľ čo aplikácie založené na IIS nasadené zákazníkmi Azure App Service Windows neboli ovplyvnené.
Bezpečnostní výskumníci varovali Microsoft pred nebezpečnou chybou
Bezpečnostní výskumníci z Wiz uviedol, že malé skupiny zákazníkov sú stále potenciálne ohrozené a mali by podniknúť určité kroky používateľov na ochranu svojich aplikácií.
Podrobnosti o tomto procese možno nájsť v niekoľkých e-mailových upozorneniach, ktoré spoločnosť Microsoft vydala medzi 7. a 15. decembrom 2021.
Výskumníci testovali svoju teóriu, že nezabezpečené predvolené správanie v Azure App Service Linux bolo pravdepodobne zneužité vo voľnej prírode nasadením vlastnej zraniteľnej aplikácie.
A už po štyroch dňoch videli prvé pokusy aktérov hrozieb získať prístup k obsahu odhaleného priečinka so zdrojovým kódom.
Aj keď by to mohlo poukazovať na útočníkov, ktorí o tom už vedia NotLegit chyby a pri pokuse o nájdenie zdrojového kódu odhalených aplikácií Azure App Service, tieto skenovania by sa dali vysvetliť aj ako bežné skenovanie odhalených priečinkov .git.
Škodlivé tretie strany získali prístup k súborom patriacim významným organizáciám po nájdení verejných priečinkov .git, takže nie je to naozaj otázka, či, je viac a kedy otázka.
Ovplyvnené aplikácie Azure App Service zahŕňajú všetky aplikácie PHP, Node, Python, Ruby a Java kódované na poskytovanie statický obsah, ak je nasadený pomocou Local Git v čistej predvolenej aplikácii v Azure App Service počnúc 2013.
Alebo, ak je nasadená v Azure App Service od roku 2013 pomocou akéhokoľvek zdroja Git, po vytvorení alebo úprave súboru v kontajneri aplikácie.
Microsoft uznávaný informácie a tím Azure App Service spolu s MSRC už použili opravu navrhnutú tak, aby pokryla najviac ovplyvnené zákazníkov a upozornil všetkých zákazníkov, ktorí sú stále vystavení po povolení nasadenia na mieste alebo nahratí priečinka .git do obsahu adresár.
Malé skupiny zákazníkov sú stále potenciálne ohrozené a mali by podniknúť určité kroky na ochranu používateľov ich aplikácie, ako je uvedené v niekoľkých e-mailových upozorneniach, ktoré spoločnosť Microsoft vydala medzi 7. a 15. decembrom, 2021.
Technologický gigant so sídlom v Redmonde túto chybu zmiernil aktualizáciou obrázkov PHP tak, aby zakázali zobrazovanie priečinka .git ako statického obsahu.
Dokumentácia k službe Azure App Service bola tiež aktualizovaná o novú sekciu správne zabezpečenie zdrojového kódu aplikácií a nasadenia na mieste.
Ak sa chcete dozvedieť viac o bezpečnostnej chybe NotLegit, časový harmonogram zverejnenia nájdete v Blogový príspevok spoločnosti Microsoft.
Aký je váš názor na celú túto situáciu? Podeľte sa s nami o svoj názor v sekcii komentárov nižšie.
