Microsoft проинформировала клиентов об уязвимости в Azure
Центр реагирования на инциденты безопасности (Security Response Center) компании Microsoft опубликовал сообщение в блоге, в котором уточняется ситуация в связи с ошибкой NotLegit, обнаруженной фирмой Wiz в Azure, и рассказывается о действиях, предпринятых для минимизации ущерба.
Wiz, специализирующаяся на облачной безопасности, утверждает, что новой уязвимости подвержены все приложения на PHP, Node, Ruby и Python, начиная с сентября 2017 г. развернутые в Azure App Service с использованием Local Git в чистом приложении по умолчанию или вообще любого исходника Git - после того, как файл был создан или изменен в контейнере приложения
Microsoft дополнительно сообщила, что проблема затрагивает клиентов службы App Service Linux, которые развертывали приложения с помощью Local Git после того, как файлы были созданы или изменены в корневом каталоге содержимого. Это происходит, "потому что система пытается сохранить развертываемые файлы как часть содержимого репозитория и активирует с помощью движка Kudu так называемое развертывание на месте (in-place)".
После того, как эта проблема 7 октября была доведена до сведения Microsoft, в качестве меры глубокой защиты компания обновила все образы PHP, запретив использование папки.git в качестве статического содержимого. Исправленное обновление вышло в ноябре, а клиенты были уведомлены о проблеме в декабре. Компания также расширила свои рекомендации по безопасности, добавив туда раздел о защите исходного кода, и обновила документацию для развертываний in-place.
В блоге Microsoft отмечается, что не всем пользователям Local Git следует опасаться NotLegit, и что эта проблема неактуальна для Azure App Service Windows.
Wiz, получившая за найденную ошибку вознаграждение в размере 7,5 тыс. долл., в прошлый четверг заявила, что NotLegit активно используется злоумышленниками.
Чтобы оценить шансы такого взлома, команда Wiz Research развернула уязвимое приложение Azure App Service, связала его с неиспользуемым доменом и стала ждать, не попытается ли кто-нибудь получить доступ к файлам.git. "За четыре дня после развертывания мы увидели многочисленные запросы к этой папке.git от неизвестных субъектов", - рассказали исследователи.
По их словам, небольшие группы пользователей все еще остаются уязвимыми и должны поторопиться защитить свои приложения. Несанкционированный доступ к исходному коду их приложений (и, возможно, к другим файлам, оставленным в той же папке) может предоставить хакерам информацию для дальнейших результативных атак.
