Nyligen ledde ett säkerhetsfel som hittats i Azure App Service, en Microsoft-hanterad plattform för att bygga och vara värd för webbappar, till exponeringen av PHP, Node, Python, Ruby eller Java kundkällkod.
Vad som är ännu mer oroande än så är att detta har hänt i minst fyra år, sedan 2017.
Azure App Service Linux-kunder påverkades också av det här problemet, medan IIS-baserade applikationer som distribuerades av Azure App Service Windows-kunder inte påverkades.
Säkerhetsforskare varnade Microsoft för farliga brister
Säkerhetsforskare från Wiz uppgav att små grupper av kunder fortfarande är potentiellt exponerade och bör vidta vissa användaråtgärder för att skydda sina applikationer.
Detaljer om denna process finns i flera e-postvarningar som Microsoft utfärdade mellan den 7:e och 15:e december 2021.
Forskarna testade sin teori om att det osäkra standardbeteendet i Azure App Service Linux sannolikt utnyttjades i naturen genom att distribuera sin egen sårbara app.
Och efter bara fyra dagar såg de de första försöken som gjordes av hotaktörer för att komma åt innehållet i den exponerade källkodsmappen.
Även om detta kan peka på att angripare redan känner till Inte Legit fel och försöker hitta exponerade Azure App Service-appars källkod, kan dessa skanningar också förklaras som normala skanningar för exponerade .git-mappar.
Skadliga tredje parter har fått tillgång till filer som tillhör högprofilerade organisationer efter att ha hittat offentliga .git-mappar, så det är egentligen inte en fråga om, det är det mer av en när fråga.
De berörda Azure App Service-apparna inkluderar alla PHP-, Node-, Python-, Ruby- och Java-appar som är kodade för att tjäna statiskt innehåll om det distribueras med Local Git på en ren standardapplikation i Azure App Service från och med 2013.
Eller, om den har distribuerats i Azure App Service sedan 2013 med någon Git-källa, efter att en fil skapats eller ändrats i appbehållaren.
Microsoft erkänd informationen och Azure App Service-teamet, tillsammans med MSRC, har redan tillämpat en korrigering utformad för att täcka de mest drabbade kunder och varnade alla kunder som fortfarande var exponerade efter att ha aktiverat inplacering på plats eller laddat upp .git-mappen till innehållet katalog.
Små grupper av kunder är fortfarande potentiellt exponerade och bör vidta vissa användaråtgärder för att skydda deras applikationer, som beskrivs i flera e-postvarningar som Microsoft utfärdade mellan den 7:e och 15:e december, 2021.
Den Redmond-baserade teknikjätten mildrade felet genom att uppdatera PHP-bilder för att inte tillåta att visa .git-mappen som statiskt innehåll.
Azure App Service-dokumentationen uppdaterades också med ett nytt avsnitt om korrekt säkra apparnas källkod och utplaceringar på plats.
Om du vill veta mer om NotLegit-säkerhetsbristen kan en tidslinje för avslöjande hittas i Microsofts blogginlägg.
Vad tycker du om hela den här situationen? Dela din åsikt med oss i kommentarsfältet nedan.
