Récemment, une faille de sécurité a été découverte dans Azure App Service, une plate-forme pilotée par Microsoft pour la création et l’hébergement d’applications Web, qui a entraîné l’exposition des clients PHP, Node, Python, Ruby ou Java au code source.
Ce qui est encore plus inquiétant, c’est que cela se produit depuis au moins quatre ans, depuis 2017.
Les clients d’Azure App Service pour Linux ont également été affectés par ce problème, tandis que les applications basées sur IIS déployées par les clients Azure App Service pour Windows n’ont pas été affectées.
Des chercheurs en sécurité mettent en garde Microsoft contre une vulnérabilité dangereuse
Les chercheurs en sécurité de Wiz ont déclaré que de petits groupes de clients sont toujours potentiellement vulnérables et doivent prendre des mesures pour protéger leurs applications.
Des détails sur ce processus peuvent être trouvés dans plusieurs e-mails Microsoft envoyés entre le 7 et le 15 décembre 2021.
Les chercheurs ont testé leur théorie selon laquelle le comportement dangereux par défaut dans Azure Linux App Service a probablement été exploité dans la nature en déployant leur propre application vulnérable.
Et seulement quatre jours plus tard, ils ont vu les premières tentatives de cybercriminels pour accéder au contenu du dossier open source.
Bien que cela puisse indiquer que les attaquants sont déjà conscients de la vulnérabilité NotLegit et tentent de localiser le code source des applications open source Azure App Service, cette analyse peut également être expliquée comme une analyse de dossier ouvert régulière. idiot.
Des tiers malveillants ont eu accès à des fichiers appartenant à des organisations connues après avoir découvert des dossiers publics. git, donc la question n’est pas si, mais quand .
Les applications Azure App Service affectées incluent toutes les applications PHP, Node, Python, Ruby et Java codées pour servir du contenu statique lorsqu’elles sont déployées à l’aide de Git local dans une application Azure App Service par défaut pure depuis 2013.
Ou, s’il est déployé sur Azure App Service depuis 2013 à l’aide de n’importe quelle source Git, après la création ou la modification du fichier dans le conteneur de l’application.
Microsoft a confirmé ces informations et l’équipe Azure App Service, ainsi que MSRC, ont déjà appliqué un correctif ciblant les clients les plus touchés et alerté tous les clients encore ouverts après avoir activé le déploiement sur place ou téléchargé un dossier. git dans le répertoire de contenu.
De petits groupes de clients restent potentiellement vulnérables et doivent prendre des mesures pour protéger leurs applications, comme détaillé dans plusieurs e-mails Microsoft émis entre le 7 et le 15 décembre 2021.
Le géant de la technologie de Redmond a corrigé cette faille en mettant à jour ses images PHP pour désactiver le dossier. git en tant que contenu statique.
Une nouvelle section a également été ajoutée à la documentation Azure App Service sur la sécurisation correcte du code source de l’application et le déploiement sur place .
Si vous souhaitez en savoir plus sur la faille de sécurité NotLegit, le calendrier de divulgation peut être trouvé dans un article de blog Microsoft .
Que pensez-vous de toute cette situation ? Partagez votre opinion avec nous dans la section commentaires ci-dessous.
Laisser un commentaire