Исследователи безопасности обнаружили, что из-за недостатка в Microsoft Azure App Service исходный код клиентов был открыт в течение многих лет.
По словам поставщика облачной безопасности Wiz.io, платформа Microsoft для создания и размещения веб-приложений с 2017 года содержит небезопасное поведение по умолчанию в своем варианте Linux, и в результате был открыт исходный код клиента PHP, Node., Python , Ruby и Java.
Компания назвала уязвимость NotLegit и заявила, что она «вероятно использовалась в реальных условиях». Однако приложения на базе IIS безопасны. После развертывания собственного уязвимого приложения злоумышленнику Wiz.io потребовалось всего четыре дня, чтобы попытаться получить доступ к содержимому папки исходного кода на открытой конечной точке.
Исправление Microsoft
Однако вы не можете быть уверены, знал ли кто-нибудь об уязвимости NotLegit или это было обычное сканирование открытых файлов .git.
«Небольшие группы клиентов по-прежнему потенциально подвергаются риску и должны предпринять определенные действия для защиты своих приложений, как подробно описано в нескольких оповещениях по электронной почте, которые Microsoft выпустила в период с 7 по 15 декабря 2021 года», — отметил Виз. Ио.
Microsoft признала недостаток и заявила, что уже внедрила исправление.
«Wiz.io сообщил MSRC о проблеме, из-за которой клиенты могут непреднамеренно настроить папку .git для создания в корне содержимого, что подвергает их риску раскрытия информации. В сочетании с приложением, настроенным для предоставления статического контента, это позволяет другим загружать файлы, которые не предназначены для публичного использования », - говорится в сообщении Microsoft.
Чтобы решить эту проблему, Microsoft обновила все образы PHP, чтобы запретить потоковую передачу папки .git как статического содержимого в качестве меры глубокой защиты, затронутые клиенты, а также те, кто загрузил папку, сообщили о .git в каталоге содержимого и обновил свой Руководящий документ по безопасности дополнительным разделом о защите исходного кода. Наконец, обновлена документация по развертыванию на месте.
Через BleepingComputer