Niedawno odkryto lukę w zabezpieczeniach Azure App Service, opartej na Microsoft platformie do tworzenia i hostowania aplikacji internetowych, która spowodowała ujawnienie kodu źródłowego klientów PHP, Node, Python, Ruby lub Java.
Jeszcze bardziej niepokojące jest to, że dzieje się tak od co najmniej czterech lat, od 2017 roku.
Ten problem dotyczył również klientów usługi Azure App Service dla systemu Linux, natomiast nie dotyczył on aplikacji opartych na usługach IIS wdrożonych przez klientów usługi Azure App Service dla systemu Windows.
Badacze bezpieczeństwa ostrzegają firmę Microsoft przed niebezpieczną luką w zabezpieczeniach
Badacze bezpieczeństwa z Wiz powiedzieli, że małe grupy klientów są nadal potencjalnie narażone i muszą podjąć działania w celu ochrony swoich aplikacji.
Szczegółowe informacje na temat tego procesu można znaleźć w kilku e-mailach Microsoft wysłanych w dniach 7-15 grudnia 2021 r.
Badacze przetestowali swoją teorię, że domyślne niebezpieczne zachowanie w Azure Linux App Service było prawdopodobnie wykorzystywane na wolności, wdrażając własną podatną na ataki aplikację.
A zaledwie cztery dni później widzieli pierwsze próby cyberprzestępców uzyskania dostępu do zawartości folderu open source.
Chociaż może to wskazywać, że osoby atakujące są już świadome luki NotLegit i próbują zlokalizować kod źródłowy aplikacji open source usługi Azure App Service, to skanowanie można również wyjaśnić jako zwykłe skanowanie otwartego folderu. git.
Złośliwe strony trzecie uzyskały dostęp do plików należących do znanych organizacji po wykryciu folderów publicznych. git, więc pytanie nie brzmi czy, ale kiedy .
Aplikacje usługi Azure App Service, których dotyczy problem, obejmują wszystkie aplikacje PHP, Node, Python, Ruby i Java zakodowane w celu obsługi zawartości statycznej po wdrożeniu przy użyciu lokalnego narzędzia Git w czystej domyślnej aplikacji usługi Azure App Service od 2013 r.
Lub, jeśli został wdrożony w usłudze Azure App Service od 2013 r. przy użyciu dowolnego źródła Git, po utworzeniu lub zmodyfikowaniu pliku w kontenerze aplikacji.
Firma Microsoft potwierdziła te informacje, a zespół usługi Azure App Service wraz z firmą MSRC zastosował już poprawkę skierowaną do klientów, którzy są najbardziej dotknięci, i powiadomili wszystkich klientów, którzy nadal są otwarci po włączeniu wdrożenia w miejscu lub pobraniu folderu. git do katalogu zawartości.
Małe grupy klientów pozostają potencjalnie podatne na zagrożenia i muszą podjąć działania w celu ochrony swoich aplikacji, jak opisano w kilku wiadomościach e-mail firmy Microsoft wysłanych w dniach 7-15 grudnia 2021 r.
Gigant technologiczny z Redmond rozwiązał tę lukę, aktualizując swoje obrazy PHP, aby wyłączyć folder. git jako zawartość statyczna.
Do dokumentacji usługi Azure App Service dodano również nową sekcję dotyczącą prawidłowego zabezpieczania kodu źródłowego aplikacji i wdrażania w miejscu .
Jeśli chcesz dowiedzieć się więcej o luce bezpieczeństwa NotLegit, harmonogram ujawniania można znaleźć w poście na blogu firmy Microsoft .
Jak się czujesz w tej całej sytuacji? Podziel się z nami swoją opinią w sekcji komentarzy poniżej.
Dodaj komentarz