Son zamanlarda, web uygulamaları oluşturmak ve barındırmak için Microsoft tarafından yönetilen bir platform olan Azure App Service'te bulunan bir güvenlik açığı PHP, Node, Python, Ruby veya Java müşteri kaynak kodunun açığa çıkmasına neden oldu.
Bundan daha endişe verici olan şey, bunun 2017'den bu yana en az dört yıldır devam ediyor olmasıdır.
Azure App Service Linux müşterileri de bu sorundan etkilenirken, Azure App Service Windows müşterileri tarafından dağıtılan IIS tabanlı uygulamalar etkilenmedi.
Güvenlik araştırmacıları Microsoft'u tehlikeli kusur konusunda uyardı
Güvenlik araştırmacıları Wiz küçük müşteri gruplarının hala potansiyel olarak açıkta olduğunu ve uygulamalarını korumak için belirli kullanıcı eylemleri yapması gerektiğini belirtti.
Bu işlemle ilgili ayrıntılar, Microsoft'un 7-15 Aralık 2021 arasında yayınladığı çeşitli e-posta uyarılarında bulunabilir.
Araştırmacılar, Azure App Service Linux'taki güvenli olmayan varsayılan davranışın büyük olasılıkla kendi güvenlik açığı bulunan uygulamalarını dağıtarak vahşi ortamda istismar edildiğine dair teorilerini test etti.
Ve sadece dört gün sonra, tehdit aktörlerinin açıkta kalan kaynak kodu klasörünün içeriğine erişmeye yönelik ilk girişimlerini gördüler.
Bu, saldırganların zaten bildiklerini gösterebilse de yasal değil açıkta kalan Azure App Service uygulamalarının kaynak kodunu bulmaya çalışırken, bu taramalar açıkta kalan .git klasörleri için normal taramalar olarak da açıklanabilir.
Kötü amaçlı üçüncü taraflar, genel .git klasörlerini bulduktan sonra yüksek profilli kuruluşlara ait dosyalara erişim elde etti. gerçekten bir soru değil, bu daha fazlası ne zaman soru.
Etkilenen Azure App Service uygulamaları, hizmet vermek üzere kodlanmış tüm PHP, Node, Python, Ruby ve Java uygulamalarını içerir. ile başlayan Azure App Service temiz bir varsayılan uygulamada Yerel Git kullanılarak dağıtılırsa statik içerik 2013.
Veya, uygulama kapsayıcısında bir dosya oluşturulduktan veya değiştirildikten sonra herhangi bir Git kaynağı kullanılarak 2013'ten beri Azure App Service'te dağıtılırsa.
Microsoft kabul edildi bilgiler ve Azure App Service ekibi, MSRC ile birlikte en çok etkilenenleri kapsayacak şekilde tasarlanmış bir düzeltmeyi zaten uygulamıştır. yerinde dağıtımı etkinleştirdikten veya .git klasörünü içeriğe yükledikten sonra hala açıkta kalan tüm müşterileri uyardı dizin.
Küçük müşteri grupları hala potansiyel olarak risk altındadır ve korumak için belirli kullanıcı eylemleri yapmalıdır. Microsoft'un 7 - 15 Aralık arasında yayınladığı çeşitli e-posta uyarılarında ayrıntılı olarak açıklandığı gibi, başvuruları, 2021.
Redmond tabanlı teknoloji devi, .git klasörünün statik içerik olarak sunulmasına izin vermemek için PHP görüntülerini güncelleyerek kusuru azalttı.
Azure App Service belgeleri de düzgün bir şekilde yeni bir bölümle güncellendi. uygulamaların kaynak kodunun güvenliğini sağlama ve yerinde dağıtımlar.
NotLegit güvenlik açığı hakkında daha fazla bilgi edinmek istiyorsanız, bir açıklama zaman çizelgesi şurada bulunabilir: Microsoft'un blog yazısı.
Bütün bu duruma bakış açınız nedir? Aşağıdaki yorumlar bölümünde düşüncelerinizi bizimle paylaşın.
