Microsoft’un Azure Uygulama Hizmetinde, Eylül 2017’den bu yana en az dört yıl boyunca Java, Node, PHP, Python ve Ruby ile yazılmış müşteri uygulamalarının kaynak kodunun açığa çıkmasına neden olan bir güvenlik açığı ortaya çıkarıldı.
Güvenlik açığı, kod adı “yasal değil,” 7 Ekim 2021’de Wiz araştırmacıları tarafından teknoloji devine bildirildi ve ardından Kasım ayında bilgi ifşa hatasını düzeltmek için hafifletmeler yapıldı. Microsoft söz konusu “Sınırlı bir müşteri alt kümesi”, “Dosyalar uygulamada oluşturulduktan sonra Yerel Git aracılığıyla App Service Linux’a kod dağıtan müşteriler, etkilenen tek müşterilerdi.”
bu Azure Uygulama Hizmeti (aka Azure Web Apps), web uygulamaları oluşturmak ve barındırmak için bulut bilişim tabanlı bir platformdur. Kullanıcıların yerel bir kaynak kullanarak hizmete kaynak kodu ve yapıtları dağıtmasına olanak tanır. Git deposu veya GitHub ve Bitbucket’te barındırılan depolar aracılığıyla.
Güvenli olmayan varsayılan davranış, Azure App Service’e dağıtmak için Yerel Git yöntemi kullanıldığında ortaya çıkar ve Git deposunun genel olarak erişilebilir bir dizinde (ev/site/wwwroot) oluşturulduğu bir senaryoyla sonuçlanır.
Microsoft, bir “web.config” dosyası eklerken .git klasörü — havuzun durumunu ve geçmişini içerir — genel erişimi kısıtlamak için yapılandırma dosyaları yalnızca Microsoft’un kendi IIS web sunucularına dayanan C# veya ASP.NET uygulamalarıyla kullanılır ve PHP, Ruby gibi diğer programlama dillerinde kodlanmış uygulamaları dışarıda bırakır. Apache, Nginx ve Flask gibi farklı web sunucularıyla dağıtılan , Python veya Node.
Wiz araştırmacısı Shir Tamari, “Temelde, kötü niyetli bir aktörün tek yapması gereken, hedef uygulamadan ‘/.git’ dizinini almak ve kaynak kodunu almaktı.” Dedi. “Kötü niyetli aktörler, sırları ve fikri mülkiyeti toplayabildikleri açıkta kalan Git klasörleri için sürekli interneti tarıyorlar. Kaynağın parolalar ve erişim belirteçleri gibi sırlar içerme olasılığının yanı sıra, sızdırılmış kaynak kodu genellikle daha ileri düzeydeki karmaşık saldırılar için kullanılıyor.”
Tamari, “Kaynak kodu mevcut olduğunda yazılımdaki güvenlik açıklarını bulmak çok daha kolay” diye ekledi.
.
siber-2
