Нещодавно недолік безпеки, виявлений у службі додатків Azure, платформі для створення та розміщення веб-програм, керованої Microsoft, призвів до виявлення вихідного коду клієнта PHP, Node, Python, Ruby або Java.
Що ще більше хвилює, так це те, що це відбувається щонайменше чотири роки, починаючи з 2017 року.
Ця проблема також вплинула на клієнтів Azure App Service Linux, тоді як програми на основі IIS, розгорнуті клієнтами Azure App Service Windows, не постраждали.
Дослідники безпеки попередили Microsoft про небезпечний недолік
Дослідники безпеки з Wiz заявив, що невеликі групи клієнтів все ще потенційно піддаються впливу і повинні вжити певних дій користувачів для захисту своїх програм.
Детальну інформацію про цей процес можна знайти в кількох сповіщеннях електронною поштою, виданих Microsoft у період з 7 по 15 грудня 2021 року.
Дослідники перевірили свою теорію про те, що небезпечна поведінка за замовчуванням у Azure App Service Linux, ймовірно, використовувалася в дикій природі, розгортаючи власну вразливу програму.
І лише через чотири дні вони побачили перші спроби з боку загроз отримати доступ до вмісту відкритої папки вихідного коду.
Хоча це може вказувати на те, що зловмисники вже знають про це Незаконно Якщо ви намагаєтеся знайти вихідний код програм Azure App Service, ці сканування також можна пояснити як звичайне сканування відкритих папок .git.
Шкідливі треті сторони отримали доступ до файлів, що належать відомим організаціям, знайшовши загальнодоступні папки .git, тому це насправді не питання чи, це більше а коли питання.
Уражені програми Azure App Service включають усі програми PHP, Node, Python, Ruby та Java, закодовані для обслуговування статичний вміст, якщо розгорнутий за допомогою Local Git у чистій програмі за замовчуванням у службі додатків Azure, починаючи з 2013.
Або, якщо розгорнуто в службі додатків Azure з 2013 року з використанням будь-якого джерела Git, після створення або зміни файлу в контейнері програми.
Microsoft визнали інформацію, а команда служби додатків Azure разом із MSRC вже застосували виправлення, розроблене для покриття найбільш постраждалих клієнтів і попереджав усіх клієнтів, які все ще відкриті після ввімкнення розгортання на місці або завантаження папки .git до вмісту каталог.
Невеликі групи клієнтів все ще потенційно заражені, і вони повинні вжити певних дій для захисту користувачів їхні програми, як детально описано в кількох сповіщеннях електронною поштою, опублікованих Microsoft у період з 7 по 15 грудня, 2021.
Технічний гігант із Редмонда усунув недолік, оновивши зображення PHP, щоб заборонити обслуговувати папку .git як статичний вміст.
Документація по службі додатків Azure також була оновлена новим розділом про належне захист вихідного коду програм і розгортання на місці.
Якщо ви хочете дізнатися більше про недолік безпеки NotLegit, графік розкриття інформації можна знайти в Повідомлення в блозі Microsoft.
Як ви ставитеся до всієї цієї ситуації? Поділіться з нами своєю думкою в розділі коментарів нижче.
![5 найкращих карт для захоплення гри вартістю до 100 доларів США [Посібник 2021]](/f/cd121a5c5a29b619a539f875ecf1df6d.jpg?width=300&height=460)
![Розширення WhatsApp для масової надсилання повідомлень [Швидкий список]](/f/34e2dd55fb68c5de44de511b37e71e9f.webp?width=300&height=460)
