Recentemente, uma falha de segurança foi descoberta no Azure App Service, uma plataforma controlada pela Microsoft para criar e hospedar aplicativos da web, que resultou na exposição de clientes PHP, Node, Python, Ruby ou Java ao código-fonte.
O que é ainda mais preocupante é que isso vem acontecendo há pelo menos quatro anos, desde 2017.
Os clientes do Serviço de Aplicativo do Azure para Linux também foram afetados por esse problema, enquanto os aplicativos baseados em IIS implantados pelo Serviço de Aplicativo do Azure para clientes Windows não foram afetados.
Pesquisadores de segurança alertam a Microsoft sobre vulnerabilidade perigosa
Pesquisadores de segurança da Wiz disseram que pequenos grupos de clientes ainda são potencialmente vulneráveis e devem tomar medidas para proteger seus aplicativos.
Detalhes sobre esse processo podem ser encontrados em vários e-mails da Microsoft emitidos entre 7 e 15 de dezembro de 2021.
Os pesquisadores testaram sua teoria de que o comportamento inseguro padrão no Serviço de Aplicativo do Azure Linux provavelmente foi explorado à solta com a implantação de seu próprio aplicativo vulnerável.
E apenas quatro dias depois, eles viram as primeiras tentativas dos cibercriminosos de obter acesso ao conteúdo da pasta de código aberto.
Embora isso possa indicar que os invasores já estão cientes da vulnerabilidade NotLegit e estão tentando localizar o código-fonte dos aplicativos de código aberto do Serviço de Aplicativo do Azure, essa verificação também pode ser explicada como uma verificação regular de pasta aberta. git.
Terceiros mal-intencionados obtiveram acesso a arquivos pertencentes a organizações conhecidas após descobrirem pastas públicas. git, então a questão não é se, mas quando .
Os aplicativos de Serviço de Aplicativo do Azure afetados incluem todos os aplicativos PHP, Node, Python, Ruby e Java codificados para servir conteúdo estático quando implantados usando Git local em um aplicativo de Serviço de Aplicativo do Azure padrão puro desde 2013.
Ou, se implantado no Serviço de Aplicativo do Azure desde 2013 usando qualquer fonte Git, depois que o arquivo foi criado ou modificado no contêiner do aplicativo.
A Microsoft confirmou essas informações e a equipe do Serviço de Aplicativo do Azure, junto com o MSRC, já aplicou um hotfix direcionado aos clientes mais afetados e alertou todos os clientes ainda abertos após habilitar a implantação no local ou baixar uma pasta. git para o diretório de conteúdo.
Pequenos grupos de clientes permanecem potencialmente vulneráveis e devem tomar medidas para proteger seus aplicativos, conforme detalhado em vários e-mails da Microsoft emitidos entre 7 e 15 de dezembro de 2021.
O gigante da tecnologia de Redmond corrigiu essa falha atualizando suas imagens PHP para desabilitar a pasta. git como conteúdo estático.
Uma nova seção também foi adicionada à documentação do Serviço de Aplicativo do Azure sobre como proteger adequadamente o código-fonte do aplicativo e a implantação local .
Se você quiser saber mais sobre a falha de segurança NotLegit, a programação de divulgação pode ser encontrada em uma postagem do blog da Microsoft .
Como você se sente em relação a toda essa situação? Compartilhe sua opinião conosco na seção de comentários abaixo.
Deixe um comentário