`

СПЕЦИАЛЬНІ
ПАРТНЕРИ
ПРОЕКТА

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Microsoft проинформировала клиентов об уязвимости в Azure

+11
голос

Microsoft проинформировала клиентов об уязвимости в  Azure

Центр реагирования на инциденты безопасности (Security Response Center) компании Microsoft опубликовал сообщение в блоге, в котором уточняется ситуация в связи с ошибкой NotLegit, обнаруженной фирмой Wiz в Azure, и рассказывается о действиях, предпринятых для минимизации ущерба.

Wiz, специализирующаяся на облачной безопасности, утверждает, что новой уязвимости подвержены все приложения на PHP, Node, Ruby и Python, начиная с сентября 2017 г. развёрнутые в Azure App Service с использованием Local Git в чистом приложении по умолчанию или вообще любого исходника Git – после того, как файл был создан или изменён в контейнере приложения

Microsoft дополнительно сообщила, что проблема затрагивает клиентов службы App Service Linux, которые развёртывали приложения с помощью Local Git после того, как файлы были созданы или изменены в корневом каталоге содержимого. Это происходит, «потому что система пытается сохранить развёртываемые файлы как часть содержимого репозитория и активирует с помощью движка Kudu так называемое развёртывание на месте (in-place)».

После того, как эта проблема 7 октября была доведена до сведения Microsoft, в качестве меры глубокой защиты компания обновила все образы PHP, запретив использование папки .git в качестве статического содержимого. Исправленное обновление вышло в ноябре, а клиенты были уведомлены о проблеме в декабре. Компания также расширила свои рекомендации по безопасности, добавив туда раздел о защите исходного кода, и обновила ​​документацию для развёртываний in-place.

В блоге Microsoft отмечается, что не всем пользователям Local Git следует опасаться NotLegit, и что эта проблема неактуальна для Azure App Service Windows.

Wiz, получившая за найденную ошибку вознаграждение в размере 7,5 тыс. долл., в прошлый четверг заявила, что NotLegit  активно используется злоумышленниками.

Чтобы оценить шансы такого взлома, команда Wiz Research развернула уязвимое приложение Azure App Service, связала его с неиспользуемым доменом и стала ждать, не попытается ли кто-нибудь получить доступ к файлам .git. «За четыре дня после развёртывания мы увидели многочисленные запросы к этой папке .git от неизвестных субъектов», – рассказали исследователи.

По их словам, небольшие группы пользователей все ещё остаются уязвимыми и должны поторопиться защитить свои приложения. Несанкционированный доступ к исходному коду их приложений (и, возможно, к другим файлам, оставленным в той же папке) может предоставить хакерам информацию для дальнейших результативных атак.

Де і як компаніям необхідно укріпити свій захист

+11
голос

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT