Microsoft проинформировала клиентов об уязвимости в Azure

28 декабрь, 2021 - 11:58

Microsoft проинформировала клиентов об уязвимости в  Azure

Центр реагирования на инциденты безопасности (Security Response Center) компании Microsoft опубликовал сообщение в блоге, в котором уточняется ситуация в связи с ошибкой NotLegit, обнаруженной фирмой Wiz в Azure, и рассказывается о действиях, предпринятых для минимизации ущерба.

Wiz, специализирующаяся на облачной безопасности, утверждает, что новой уязвимости подвержены все приложения на PHP, Node, Ruby и Python, начиная с сентября 2017 г. развёрнутые в Azure App Service с использованием Local Git в чистом приложении по умолчанию или вообще любого исходника Git – после того, как файл был создан или изменён в контейнере приложения

Microsoft дополнительно сообщила, что проблема затрагивает клиентов службы App Service Linux, которые развёртывали приложения с помощью Local Git после того, как файлы были созданы или изменены в корневом каталоге содержимого. Это происходит, «потому что система пытается сохранить развёртываемые файлы как часть содержимого репозитория и активирует с помощью движка Kudu так называемое развёртывание на месте (in-place)».

После того, как эта проблема 7 октября была доведена до сведения Microsoft, в качестве меры глубокой защиты компания обновила все образы PHP, запретив использование папки .git в качестве статического содержимого. Исправленное обновление вышло в ноябре, а клиенты были уведомлены о проблеме в декабре. Компания также расширила свои рекомендации по безопасности, добавив туда раздел о защите исходного кода, и обновила ​​документацию для развёртываний in-place.

В блоге Microsoft отмечается, что не всем пользователям Local Git следует опасаться NotLegit, и что эта проблема неактуальна для Azure App Service Windows.

Wiz, получившая за найденную ошибку вознаграждение в размере 7,5 тыс. долл., в прошлый четверг заявила, что NotLegit  активно используется злоумышленниками.

Чтобы оценить шансы такого взлома, команда Wiz Research развернула уязвимое приложение Azure App Service, связала его с неиспользуемым доменом и стала ждать, не попытается ли кто-нибудь получить доступ к файлам .git. «За четыре дня после развёртывания мы увидели многочисленные запросы к этой папке .git от неизвестных субъектов», – рассказали исследователи.

По их словам, небольшие группы пользователей все ещё остаются уязвимыми и должны поторопиться защитить свои приложения. Несанкционированный доступ к исходному коду их приложений (и, возможно, к другим файлам, оставленным в той же папке) может предоставить хакерам информацию для дальнейших результативных атак.