Недостаток службы приложений Azure раскрывает огромную коллекцию репозиториев исходного кода

Исследователи безопасности обнаружили, что из-за недостатка в службе приложений Microsoft Azure в течение многих лет исходный код клиентов был раскрыт.

Недостаток службы приложений Azure раскрывает огромную коллекцию репозиториев исходного кода. Фото: Pexels

По словам представителей компании-поставщика облачной безопасности, платформа Microsoft для создания и размещения веб- приложений Wiz.io с 2017 года содержала уязвимость в своем варианте Linux. В результате был открыт исходный код клиентов на PHP, Node, Python, Ruby и Java.

Компания назвала этот недостаток NotLegit и заявила, что «вероятно, он использовался в дикой природе». Однако приложения на основе IIS безопасны. После развертывания собственного уязвимого приложения Wiz.io потребовалось всего четыре дня, чтобы злоумышленник попытался получить доступ к содержимому папки с исходным кодом на открытой конечной точке .

Однако нельзя быть уверенным, знал ли кто-то об уязвимости NotLegit или это было обычное сканирование открытых папок .git.

Из сообщения Wiz.io:

«Малые группы клиентов по — прежнему потенциально подвергаются риску и должны предпринять определенные действия, чтобы защитить свои приложения. Действия описаны в нескольких оповещениях, которые Microsoft распространила по электронной почте между 7 - 15 декабря 2021 года»

Microsoft признала ошибку и заявила, что уже установила исправление.

Из сообщения Microsoft:

«Wiz.io проинформировал MSRC о проблеме, из-за которой клиенты могут непреднамеренно настроить папку .git, создаваемую в корне содержимого и подвергнуться риску раскрытия информации. В сочетании с приложением, настроенным для обслуживания статического контента, это дает возможность другим пользователям загружать файлы, не предназначенные для общего доступа»

Чтобы решить эту проблему, Microsoft обновила все образы PHP, чтобы запретить использование папки .git в качестве статического содержимого в качестве меры глубокой защиты, уведомила затронутых клиентов, а также тех, у кого папка .git была загружена в каталог содержимого, и обновила ее. Компания выпустила документ с рекомендациями по безопасности с дополнительным разделом о защите исходного кода.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме