Jonathan Greig er en journalist basert i New York City.
Full Bio 23. desember 2021 | Emne: Microsoft
Microsofts sikkerhetsresponssenter har gitt ut et blogginnlegg som forklarer svaret på «NotLegit»-feilen i Azure som ble oppdaget av skysikkerhetsselskapet Wiz.
Wiz sa at alle PHP-, Node-, Ruby- og Python-applikasjoner som ble distribuert med “Local Git” på en ren standardapplikasjon i Azure App Service siden september 2017, er berørt. De la til at alle PHP-, Node-, Ruby- og Python-applikasjoner som ble distribuert i Azure App Service fra september 2017 og fremover ved å bruke en hvilken som helst Git-kilde – etter at en fil ble opprettet eller endret i applikasjonsbeholderen – også ble berørt.
Microsoft klargjorde i sitt svar at problemet påvirker App Service Linux-kunder som distribuerte applikasjoner med Local Git etter at filer ble opprettet eller endret i innholdets rotkatalog. De forklarte at dette skjer “fordi systemet forsøker å bevare de nåværende distribuerte filene som en del av depotinnholdet, og aktiverer det som omtales som in-place distribusjoner av distribusjonsmotoren (Kudu).”
“Bildene som ble brukt for PHP-runtime ble konfigurert til å vise alt statisk innhold i innholdsrotmappen. Etter at dette problemet ble gjort oppmerksom på, oppdaterte vi alle PHP-bilder for å ikke tillate visning av .git-mappen som statisk innhold som et forsvar i dybden. “, forklarte Microsoft.
De la merke til at ikke alle brukere av Local Git ble påvirket av sikkerhetsproblemet, og at Azure App Service Windows ikke ble berørt.
Microsoft har varslet kundene som er berørt av problemet, inkludert de som ble berørt på grunn av aktiveringen av distribusjon på stedet og de som hadde lastet opp .git-mappen til innholdskatalogen. Selskapet oppdaterte også dokumentet Sikkerhetsanbefalinger med en ekstra del om sikring av kildekode. Den oppdaterte også dokumentasjonen for installasjoner på stedet.
Wiz Research Team sa tirsdag at de først varslet Microsoft om problemet 7. oktober og jobbet med selskapet gjennom måneden for å løse det. Reparasjonen ble distribuert i november, og kundene ble varslet innen desember. Wiz fikk utbetalt en feilpremie på $7 500.
Microsoft sa ikke om sårbarheten har blitt utnyttet, men Wiz sa at “NotLegit” er “ekstremt enkelt, vanlig og blir aktivt utnyttet.”
“For å vurdere sjansen for eksponering med problemet vi fant, distribuerte vi en sårbar Azure App Service-applikasjon, koblet den til et ubrukt domene og ventet tålmodig for å se om noen prøvde å nå .git-filene. Innen 4 dager etter distribusjon, vi ble ikke overrasket over å se flere forespørsler om .git-mappen fra ukjente skuespillere,” forklarte forskerne.
“Små grupper av kunder er fortsatt potensielt utsatt og bør iverksette visse brukerhandlinger for å beskytte applikasjonene sine, som beskrevet i flere e-postvarsler som Microsoft utstedte mellom 7. – 15. desember 2021.”
Wiz Research Team bemerket at utilsiktet eksponering av Git-mappen gjennom brukerfeil er et sikkerhetsproblem som har påvirket organisasjoner som FN og en rekke indiske myndigheters nettsteder.
Vectra CTO Oliver Tavakoli sa at virkningen av sårbarheten vil være svært varierende. Å få tilgang til kildekoden som ligger til grunn for en applikasjon (og muligens andre filer som kan ha blitt liggende i samme katalog) kan gi informasjon som kan utnyttes for andre angrep, sa Tavakoli.
“Det faktum at forskerne satte opp det som tilsvarer en honningkrukke og så sårbarheten utnyttet i naturen er spesielt bekymringsfull, siden det betyr at sårbarheten ikke var en godt bevart hemmelighet,” forklarte Tavakoli.
JupiterOne-feltsikkerhetsdirektør Jasmine Henry fortalte ZDNet at lekket kildekode setter en organisasjon i en utrolig sårbar posisjon for trusselaktører, som umiddelbart kan stjele intellektuell eiendom eller lansere en utnyttelse skreddersydd for unike svakheter i kildekoden.
“NotLegit-sårbarheten er spesielt øyeåpnende, siden den fremhever den økende sikkerhetsrisikoen forårsaket av privilegerte kontoer og tjenester, selv i fravær av utviklerfeil,” sa Henry.
Sikkerhet
Log4j-trussel:10 spørsmål du må stille Apache lanserer ny 2.17.0-oppdatering for Log4j, løser DoS-sårbarhet Politiet finner 225 millioner stjålne passord på en hacket server . Er din en av dem? Hvordan dette selskapet ikke betalte når det ble rammet av løsepengevare De beste VPN-ene for små og hjemmebaserte virksomheter i 2021 Cloud | Enterprise Software | Windows | Windows 10 | Samarbeid | Anmeldelser