Güvenlik araştırmacıları, Microsoft’un Azure Uygulama Hizmetindeki bir kusurun yıllardır müşteri kaynak kodunu ifşa ettiğini keşfetti.
Bulut güvenlik sağlayıcıları Wiz.io’ya göre, Microsoft’un web uygulamaları oluşturma ve barındırma platformu, 2017’den beri Linux varyantında güvenli olmayan varsayılan davranış içeriyor ve sonuç olarak PHP, Node, Python, Ruby ve Java müşteri kaynak kodu açığa çıkmıştı.
Şirket, kusuru “NotLegit” olarak adlandırdı ve “muhtemelen vahşi doğada istismar edildiğini” söyledi. Yine de IIS tabanlı uygulamalar güvenlidir. Kendilerine ait güvenlik açığı bulunan bir uygulamayı dağıttıktan sonra, bir tehdit aktörünün açıkta kalan uç noktadaki kaynak kod klasörünün içeriğine erişmeye çalışması Wiz.io’nun yalnızca dört gününü aldı.
Microsoft düzeltmesi
Ancak, birisinin NotLegit kusurunu bilip bilmediğinden veya bunun yalnızca açıkta kalan .git klasörleri için düzenli bir tarama olup olmadığından emin olamaz.
Wiz.io, “Microsoft’un 7 – 15 Aralık 2021 tarihleri arasında yayınladığı çeşitli e-posta uyarılarında ayrıntılı olarak açıklandığı gibi, küçük müşteri grupları hala potansiyel olarak açıkta ve uygulamalarını korumak için belirli kullanıcı eylemleri yapmalıdır.” kayıt edilmiş.
Microsoft kusuru kabul etti ve zaten bir düzeltme dağıttığını söyledi.
“MSRC, Wiz.io tarafından, müşterilerin içerik kökünde oluşturulacak .git klasörünü istemeden yapılandırabilecekleri ve bu da onları bilgi ifşası riskine sokacak bir sorun hakkında bilgilendirildi. Bu, statik içerik sunmak üzere yapılandırılmış bir uygulama ile birleştirildiğinde, başkalarının herkese açık olması amaçlanmayan dosyaları indirmesini mümkün kılar, “dedi Microsoft bir duyuruda.
Sorunu çözmek için Microsoft, derinlemesine bir savunma olarak .git klasörünün statik içerik olarak sunulmasına izin vermeyecek şekilde tüm PHP görüntülerini güncelledi, etkilenen müşterilere ve .git klasörünü içerik dizinine yüklemiş olanlara bilgi verdi ve içeriğini güncelledi. Kaynak kodunun güvenliğine ilişkin ek bir bölüm içeren Güvenlik Önerileri belgesi. Son olarak, yerinde dağıtımlar için belgeleri de güncelledi.
Üzerinden BleeBilgisayar