ช่องโหว่ Azure App Service เปิดเผยซอร์สโค้ดของลูกค้า

เมื่อเร็ว ๆ นี้ ข้อบกพร่องด้านความปลอดภัยที่พบใน Azure App Service ซึ่งเป็นแพลตฟอร์มที่จัดการโดย Microsoft สำหรับการสร้างและโฮสต์เว็บแอป นำไปสู่การเปิดเผยซอร์สโค้ดของลูกค้า PHP, Node, Python, Ruby หรือ Java

ที่น่ากังวลไปกว่านั้นคือสิ่งนี้เกิดขึ้นอย่างน้อยสี่ปีแล้ว ตั้งแต่ปี 2560

ลูกค้า Azure App Service Linux ก็ได้รับผลกระทบจากปัญหานี้เช่นกัน ในขณะที่แอปพลิเคชันบน IIS ที่ปรับใช้โดยลูกค้า Azure App Service Windows จะไม่ได้รับผลกระทบ

นักวิจัยด้านความปลอดภัยเตือน Microsoft เกี่ยวกับข้อบกพร่องที่เป็นอันตราย

นักวิจัยด้านความปลอดภัยจาก วิซ ระบุว่าลูกค้ากลุ่มเล็กๆ ยังคงมีโอกาสถูกเปิดเผยและควรดำเนินการบางอย่างของผู้ใช้เพื่อปกป้องแอปพลิเคชันของตน

รายละเอียดเกี่ยวกับกระบวนการนี้สามารถพบได้ในการแจ้งเตือนทางอีเมลหลายฉบับที่ Microsoft ออกให้ระหว่างวันที่ 7 - 15 ธันวาคม พ.ศ. 2564

นักวิจัยได้ทดสอบทฤษฎีของพวกเขาว่าพฤติกรรมเริ่มต้นที่ไม่ปลอดภัยใน Azure App Service Linux มีแนวโน้มว่าจะถูกใช้ในทางที่ผิดโดยการปรับใช้แอปที่มีช่องโหว่ของตนเอง

และหลังจากนั้นเพียงสี่วัน พวกเขาเห็นความพยายามครั้งแรกของผู้คุกคามในการเข้าถึงเนื้อหาของโฟลเดอร์ซอร์สโค้ดที่ถูกเปิดเผย

แม้ว่าสิ่งนี้อาจชี้ให้ผู้โจมตีรู้อยู่แล้วว่า NotLegit ข้อบกพร่องและพยายามค้นหาซอร์สโค้ดของแอป Azure App Service ที่ถูกเปิดเผย การสแกนเหล่านี้สามารถอธิบายได้เหมือนกับการสแกนปกติสำหรับโฟลเดอร์ .git ที่ถูกเปิดเผย

บุคคลที่สามที่เป็นอันตรายได้เข้าถึงไฟล์ที่เป็นขององค์กรระดับสูงหลังจากพบโฟลเดอร์ .git สาธารณะ ดังนั้น ไม่ใช่คำถามว่ามันคือ เพิ่มเติมของ a เมื่อไร คำถาม.

แอปพลิเคชัน Azure App Service ที่ได้รับผลกระทบประกอบด้วยแอป PHP, Node, Python, Ruby และ Java ทั้งหมดที่เข้ารหัสเพื่อให้บริการ เนื้อหาแบบคงที่หากปรับใช้โดยใช้ Local Git บนแอปพลิเคชันเริ่มต้นใหม่ทั้งหมดใน Azure App Service ที่ขึ้นต้นด้วย 2013.

หรือหากปรับใช้ใน Azure App Service ตั้งแต่ปี 2013 โดยใช้แหล่ง Git หลังจากที่ไฟล์ถูกสร้างขึ้นหรือแก้ไขในคอนเทนเนอร์ของแอป

Microsoft รับทราบ ข้อมูลและทีม Azure App Service พร้อมด้วย MSRC ได้ใช้การแก้ไขที่ออกแบบมาเพื่อครอบคลุมผลกระทบมากที่สุด ลูกค้าและแจ้งเตือนลูกค้าทั้งหมดที่ยังคงเปิดเผยหลังจากเปิดใช้งานการปรับใช้แบบแทนที่หรืออัปโหลดโฟลเดอร์ .git ไปยังเนื้อหา ไดเร็กทอรี

ลูกค้ากลุ่มเล็กๆ ยังคงมีโอกาสถูกเปิดเผยและควรดำเนินการบางอย่างของผู้ใช้เพื่อปกป้อง แอปพลิเคชันของพวกเขาตามรายละเอียดในการแจ้งเตือนทางอีเมลหลายฉบับที่ Microsoft ออกระหว่างวันที่ 7 - 15 ธันวาคม 2021.

ยักษ์ใหญ่ด้านเทคโนโลยีจาก Redmond ได้บรรเทาข้อบกพร่องด้วยการอัปเดตอิมเมจ PHP เพื่อไม่อนุญาตให้ให้บริการโฟลเดอร์ .git เป็นเนื้อหาแบบคงที่

เอกสาร Azure App Service ได้รับการอัปเดตด้วยส่วนใหม่อย่างถูกต้อง การรักษาความปลอดภัยซอร์สโค้ดของแอป และ การปรับใช้ในสถานที่.

หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับข้อบกพร่องด้านความปลอดภัยของ NotLegit สามารถดูไทม์ไลน์การเปิดเผยได้ใน บล็อกโพสต์ของ Microsoft.

คุณคิดอย่างไรกับสถานการณ์ทั้งหมดนี้ แบ่งปันความคิดเห็นของคุณกับเราในส่วนความคิดเห็นด้านล่าง