Araştırmacılar, “Yerel Git” kullanılarak dağıtılan PHP, Python, Ruby veya Node ile yazılmış müşteri uygulamalarının kaynak kodunu açığa çıkaran Azure App Service’te bir güvenlik açığı keşfetti.
Güvenli olmayan varsayılan davranış, hatayı bulan Wiz araştırma ekibi tarafından “NotLegit” olarak adlandırıldı. Güvenlik açığının Eylül 2017’den beri var olduğunu söylüyorlar ve muhtemelen vahşi doğada istismar edildiğine inanıyorlar. Wiz, bulguları 7 Ekim 2021’de Microsoft’a bildirdi ve o zamandan beri hafifletildi, ancak küçük müşteri grupları hala potansiyel olarak maruz kalıyor, diyor Wiz.
Azure Web Apps olarak da bilinen Azure App Service, Web uygulamalarını ve web sitelerini barındırmak için bulut tabanlı bir platformdur. Azure App Service’e kaynak kodu ve yapıtları dağıtmanın birden çok yolu vardır. Bunlardan biri, kullanıcıların Azure App Service kapsayıcısında kodlarını sunucuya göndermelerini sağlayan yerel bir Git deposu başlattığı Yerel Git’tir.
Azure App Service’e dağıtmak için Yerel Git kullanıldığında, Git deposu herkesin erişebileceği bir dizin (ev/site/wwwroot) içinde oluşturuldu, araştırmacılar bir blog gönderisinde açıklamak. Microsoft bunun farkındaydı, bu nedenle dosyaları korumak için ortak dizindeki .git klasörüne bir “web.config” dosyası ekledi ve bu, genel erişimi kısıtladı. Ancak, yalnızca Microsoft Internet Information Services (IIS) Web sunucusunun “web.config” dosyalarını işlediğini belirtiyorlar.
Bu, C# veya ASP.NET kullanan kişiler için anlamına geliyordu, uygulamaları IIS ile dağıtıldı ve Microsoft’un azaltması işe yaradı. Ancak PHP, Ruby, Python ve Node, “web.config” dosyalarını işlemeyen farklı Web sunucularıyla dağıtılır. Bu, azaltmanın uygulanmadığı ve uygulamaların, herkese açık olması amaçlanmayan dosyaları alabilen saldırganlara karşı savunmasız olduğu anlamına gelir.
Sonuç olarak, müşteriler istemeden içerik kökünde oluşturulacak .git klasörünü yapılandırabilirler. Bu onları bilgi ifşası için riske attı. Bu sorun, statik içerik sunmak üzere yapılandırılmış bir uygulamayla birleştiğinde, saldırganların dosyalarını indirmesine olanak tanır.
Microsoft Güvenlik Yanıt Merkezi bir blog gönderisinde, “Bu, sistemin şu anda dağıtılan dosyaları depo içeriğinin bir parçası olarak korumaya çalışması ve dağıtım altyapısı (Kudu) tarafından yerinde dağıtımlar olarak adlandırılanları etkinleştirmesi nedeniyle olur.”
Microsoft bugün kendi güncellemesini yayınladı Sorunun, içerik kök dizininde dosyalar oluşturulduktan veya değiştirildikten sonra Yerel Git’i kullanarak uygulamaları dağıtan Azure App Service Linux müşterileriyle sınırlı olduğunu belirtmek. Azure App Service Windows müşterileri tarafından Microsoft’un IIS’si ile dağıtılan uygulamalar etkilenmez.
Microsoft, “Dosyalar uygulamada oluşturulduktan sonra Yerel Git aracılığıyla App Service Linux’a kod dağıtan müşteriler, etkilenen tek müşterilerdi” diye yazdı.
Sorunu öğrendikten sonra Microsoft, .git klasörünün statik içerik olarak sunulmasına izin vermemek için tüm PHP görüntülerini güncellediğini söylüyor. Sorundan etkilenen müşteriler bilgilendirildi, not edildi.