Nedavno je varnostna napaka, ugotovljena v storitvi Azure App Service, platformi za gradnjo in gostovanje spletnih aplikacij, ki jo upravlja Microsoft, povzročila izpostavljenost uporabniške izvorne kode PHP, Node, Python, Ruby ali Java.
Še bolj zaskrbljujoče od tega je, da se to dogaja že vsaj štiri leta, od leta 2017.
Ta težava je prizadela tudi stranke Azure App Service Linux, medtem ko aplikacije, ki temeljijo na IIS, ki so jih uvedle stranke Azure App Service Windows, niso bile prizadete.
Varnostni raziskovalci so opozorili Microsoft na nevarno napako
Varnostni raziskovalci iz Wiz izjavil, da so majhne skupine strank še vedno potencialno izpostavljene in bi morale sprejeti določene uporabniške ukrepe za zaščito svojih aplikacij.
Podrobnosti o tem postopku najdete v več e-poštnih opozorilih, ki jih je Microsoft izdal med 7. in 15. decembrom 2021.
Raziskovalci so preizkusili svojo teorijo, da je bilo nevarno privzeto vedenje v Azure App Service Linux verjetno izkoriščeno v naravi z uvedbo njihove lastne ranljive aplikacije.
In že po štirih dneh so opazili prve poskuse akterjev groženj za dostop do vsebine izpostavljene mape z izvorno kodo.
Čeprav bi to lahko pokazalo, da napadalci že vedo za NeLegit napake in poskuša najti izpostavljeno izvorno kodo aplikacij storitve Azure App Service, bi te preglede lahko razložili tudi kot običajne preglede izpostavljenih map .git.
Zlonamerne tretje osebe so pridobile dostop do datotek, ki pripadajo uglednim organizacijam, potem ko so odkrile javne mape .git, zato je pravzaprav ni vprašanje če, je bolj a kdaj vprašanje.
Zadevne aplikacije storitve Azure App Service vključujejo vse aplikacije PHP, Node, Python, Ruby in Java, ki so kodirane za storitev statična vsebina, če je nameščena z uporabo lokalnega Gita v čisti privzeti aplikaciji v storitvi Azure App Service, začenši z 2013.
Ali pa, če je nameščen v storitvi Azure App Service od leta 2013 z uporabo katerega koli vira Git, potem ko je bila datoteka ustvarjena ali spremenjena v vsebniku aplikacije.
Microsoft priznan informacije in ekipa storitve Azure App Service je skupaj z MSRC že uporabila popravek, zasnovan za pokrivanje najbolj prizadetih stranke in opozoril vse stranke, ki so še vedno izpostavljene, potem ko so omogočili razmestitev na mestu ali naložili mapo .git v vsebino imenik.
Majhne skupine strank so še vedno potencialno izpostavljene in bi morale sprejeti določene ukrepe za zaščito uporabnikov svoje aplikacije, kot je podrobno opisano v več e-poštnih opozorilih, ki jih je Microsoft izdal med 7. in 15. decembrom, 2021.
Tehnološki velikan s sedežem v Redmondu je napako omilil s posodobitvijo slik PHP, da je prepovedal prikazovanje mape .git kot statične vsebine.
Dokumentacija storitve Azure App Service je bila posodobljena tudi z novim razdelkom o pravilnem zaščita izvorne kode aplikacij in razmestitve na mestu.
Če želite izvedeti več o varnostni napaki NotLegit, lahko najdete časovnico za razkritje Microsoftova objava v blogu.
Kakšno je vaše mnenje o vsej tej situaciji? Delite svoje mnenje z nami v spodnjem razdelku za komentarje.
