Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 23 december 2021 | Ämne: Microsoft
Microsofts Security Response Center har släppt ett blogginlägg som förklarar dess svar på “NotLegit”-felet i Azure som upptäcktes av molnsäkerhetsföretaget Wiz.
Wiz sa att alla PHP-, Node-, Ruby- och Python-applikationer som har distribuerats med “Local Git” på en ren standardapplikation i Azure App Service sedan september 2017 påverkas. De tillade att alla PHP-, Node-, Ruby- och Python-applikationer som distribuerades i Azure App Service från september 2017 och framåt med valfri Git-källa – efter att en fil skapats eller modifierats i programbehållaren – också påverkades.
Microsoft klargjorde i sitt svar att problemet påverkar App Service Linux-kunder som distribuerade applikationer med Local Git efter att filer skapats eller modifierats i innehållets rotkatalog. De förklarade att detta händer “eftersom systemet försöker bevara de för närvarande utplacerade filerna som en del av förvarets innehåll och aktiverar vad som kallas in-place-distributioner av distributionsmotorn (Kudu).”
“Bilderna som användes för PHP-runtime konfigurerades för att visa allt statiskt innehåll i innehållsrotmappen. Efter att detta problem uppmärksammats uppdaterade vi alla PHP-bilder för att inte tillåta att visa .git-mappen som statiskt innehåll som ett försvar i djupled. “, förklarade Microsoft.
De noterade att inte alla användare av Local Git påverkades av sårbarheten och att Azure App Service Windows inte påverkades.
Microsoft har meddelat de kunder som berörs av problemet, inklusive de som påverkades på grund av aktiveringen av installationen på plats och de som hade laddat upp .git-mappen till innehållskatalogen. Företaget uppdaterade också sitt säkerhetsrekommendationsdokument med ett extra avsnitt om att säkra källkod. Den uppdaterade också dokumentationen för installationer på plats.
Wiz Research Team sa på tisdagen att de först underrättade Microsoft om problemet den 7 oktober och arbetade med företaget under månaden för att åtgärda det. Korrigeringen implementerades i november och kunderna meddelades i december. Wiz fick en buggpremie på $7 500.
Microsoft sa inte om sårbarheten har utnyttjats, men Wiz sa att “NotLegit” är “extremt enkelt, vanligt och utnyttjas aktivt.”
“För att bedöma risken för exponering med problemet vi hittade, distribuerade vi en sårbar Azure App Service-applikation, länkade den till en oanvänd domän och väntade tålmodigt för att se om någon försökte nå .git-filerna. Inom fyra dagar efter implementeringen, vi blev inte förvånade över att se flera förfrågningar om .git-mappen från okända aktörer,” förklarade forskarna.
“Små grupper av kunder är fortfarande potentiellt exponerade och bör vidta vissa användaråtgärder för att skydda sina applikationer, vilket beskrivs i flera e-postvarningar som Microsoft utfärdade mellan den 7:e och 15:e december 2021.”
Wiz Research Team noterade att av misstag avslöja Git-mappen genom användarfel är ett säkerhetsproblem som har påverkat organisationer som FN och ett antal indiska myndigheters webbplatser.
Vectra CTO Oliver Tavakoli sa att effekten av sårbarheten kommer att variera mycket. Att komma åt källkoden som ligger bakom en applikation (och möjligen andra filer som kan ha lämnats i samma katalog) kan ge information som kan utnyttjas för andra attacker, sa Tavakoli.
“Det faktum att forskarna satte upp vad som motsvarar en honungskruka och såg sårbarheten utnyttjad i det vilda är särskilt oroande, eftersom det betyder att sårbarheten inte var en väl bevarad hemlighet”, förklarade Tavakoli.
JupiterOne-fältets säkerhetschef Jasmine Henry berättade för ZDNet att läckt källkod sätter en organisation i en otroligt sårbar position för hotaktörer, som omedelbart kan stjäla immateriell egendom eller lansera en exploatering skräddarsydd för unika svagheter i källkoden.
“NotLegit-sårbarheten är särskilt ögonöppnande, eftersom den belyser den växande säkerhetsrisken som orsakas av privilegierade konton och tjänster, även i frånvaro av utvecklarfel,” sa Henry.
Säkerhet
Log4j-hot:10 frågor du behöver ställa Apache släpper ny 2.17.0 patch för Log4j, löser DoS-sårbarhet Polisen hittar 225 miljoner stulna lösenord på en hackad server . Är din en av dem? Hur detta företag inte betalade när det drabbades av ransomware De bästa VPN:erna för små och hembaserade företag i 2021 Cloud | Företagsprogramvara | Windows | Windows 10 | Samarbete | Recensioner