Web uygulamaları oluşturmak ve barındırmak için Microsoft tarafından yönetilen bir platform olan Azure App Service’te bulunan bir güvenlik açığı, 2017’den bu yana en az dört yıl boyunca PHP, Node, Python, Ruby veya Java müşteri kaynak kodunun açığa çıkmasına neden oldu.
Bulut güvenliği sağlayıcısı Wiz.io’daki araştırmacılar tarafından keşfedilen ve bildirilen sorundan yalnızca Azure App Service Linux müşterileri etkilendi ve Azure App Service Windows müşterileri tarafından dağıtılan IIS tabanlı uygulamalar etkilenmedi.
“NotLegit olarak adlandırdığımız güvenlik açığı, Eylül 2017’den beri var ve muhtemelen vahşi ortamda istismar edildi.” Wiz.io eklendi.
“Küçük müşteri grupları hala potansiyel olarak risk altındadır ve Microsoft’un 7 – 15 Aralık 2021 arasında yayınladığı çeşitli e-posta uyarılarında ayrıntılı olarak açıklandığı gibi uygulamalarını korumak için belirli kullanıcı eylemleri yapmalıdır.”
Araştırmacılar, Azure App Service Linux’taki güvenli olmayan varsayılan davranışın büyük olasılıkla kendi güvenlik açığı bulunan uygulamalarını dağıtarak vahşi ortamda istismar edildiğine dair teorilerini test etti.
Sadece dört gün içinde, tehdit aktörlerinin açıkta kalan kaynak kodu klasörünün içeriğine erişmeye yönelik ilk girişimlerini gördüler.
Bu, saldırganların NotLegit kusurunu zaten bildiğini ve özellikle açıkta kalan Azure App Service uygulamalarının kaynak kodunu bulmaya çalıştığını gösterse de, bu taramalar açıkta kalan .git klasörleri için normal taramalar olarak da açıklanabilir.
BleepingComputer’ın daha önce bildirdiği gibi, saldırganlar, aşağıdakiler de dahil olmak üzere genel .git klasörlerini bulduktan sonra yüksek profilli kuruluşlara ait dosyalara erişim elde etti. birden fazla Hint hükümeti sitesi ve Birleşmiş Milletler Çevre Programı (UNEP).
Etkilenen Azure App Service uygulamaları, aşağıdaki durumlarda statik içerik sunmak için kodlanmış tüm PHP, Node, Python, Ruby ve Java uygulamalarını içerir:
- 2013’ten itibaren Azure App Service’te temiz bir varsayılan uygulamada Yerel Git kullanılarak dağıtıldı
- uygulama kapsayıcısında bir dosya oluşturulduktan veya değiştirildikten sonra herhangi bir Git kaynağı kullanılarak 2013’ten beri Azure App Service’te dağıtılır
Kusur azaltıldı, açıkta kalan müşteriler bilgilendirildi
“MSRC, Wiz.io tarafından bilgilendirildi [..] müşterilerin içerik kökünde oluşturulacak .git klasörünü istemeden yapılandırabileceği ve bu da onları bilgilerin ifşası riskine sokabilecek bir sorunla ilgili,” Microsoft söz konusu bugün.
“Bu, statik içerik sunmak için yapılandırılmış bir uygulama ile birleştirildiğinde, başkalarının kamuya açık olması amaçlanmayan dosyaları indirmesini mümkün kılar.”
Azure App Service ekibi ve MSRC, etkilenen müşterilerin çoğunu kapsayacak şekilde tasarlanmış bir düzeltmeyi zaten uygulamış ve yerinde dağıtımı etkinleştirdikten veya .git klasörünü içerik dizinine yükledikten sonra hala açık olan tüm müşterileri uyarmıştır.
Microsoft, .git klasörünün statik içerik olarak sunulmasına izin vermemek için PHP görüntülerini güncelleyerek kusuru azalttı.
Azure App Service belgeleri de düzgün bir şekilde yeni bir bölümle güncellendi. uygulamaların kaynak kodunun güvenliğini sağlama ve yerinde dağıtımlar.
NotLegit güvenlik açığı ve açıklama zaman çizelgesi hakkında daha fazla teknik ayrıntı şurada bulunabilir: Microsoft’un blog yazısı ve Wiz Araştırma Ekibi’nin raporu.