Microsoft информирует клиентов об ошибке NotLegit в Azure
Компания облачной безопасности Wiz обнаружила ошибку еще в октябре.
Центр реагирования безопасности Microsoft опубликовал запись в блоге, объясняющую свою реакцию на ошибку NotLegit в Azure, обнаруженную компанией Wiz, занимающейся облачной безопасностью.
Виз сообщил, что затронуты все приложения PHP, Node, Ruby и Python, которые были развернуты с помощью «Local Git» в чистом приложении по умолчанию в Службе приложений Azure с сентября 2017 года. Они добавили, что это также затронуло все приложения PHP, Node, Ruby и Python, которые были развернуты в Службе приложений Azure с сентября 2017 года с использованием любого источника Git — после того, как файл был создан или изменен в контейнере приложения.
В своем ответе Microsoft пояснила, что проблема затрагивает клиентов App Service Linux, которые развернули приложения с помощью Local Git после того, как файлы были созданы или изменены в корневом каталоге контента. Они объяснили, что это происходит «потому что система пытается сохранить развернутые в данный момент файлы как часть содержимого репозитория и активирует так называемое развертывание на месте с помощью механизма развертывания (Kudu)».
«Изображения, используемые для среды выполнения PHP, были настроены для обслуживания всего статического содержимого в корневой папке содержимого. После того, как эта проблема была доведена до нашего сведения, мы обновили все изображения PHP, чтобы запретить обслуживание папки .git в качестве статического содержимого в качестве меры глубокоэшелонированной защиты. », — пояснили в Microsoft.
Они отметили, что уязвимость затронула не всех пользователей Local Git и что служба приложений Azure Windows не пострадала.
Microsoft уведомила клиентов, которых затронула эта проблема, в том числе тех, кого затронула активация развертывания на месте, и тех, у кого папка .git была загружена в каталог содержимого. Компания также обновила свой документ «Рекомендации по безопасности», добавив дополнительный раздел, посвященный защите исходного кода. Также была обновлена документация по развертыванию на месте.
Исследовательская группа Wiz заявила во вторник, что впервые уведомила Microsoft о проблеме 7 октября и в течение месяца работала с компанией над ее решением. Исправление было развернуто в ноябре, а клиенты были уведомлены к декабрю. Wiz получила награду за обнаружение ошибок в размере 7500 долларов.
Microsoft не сообщила, была ли использована уязвимость, но Wiz сказал, что «NotLegit» «чрезвычайно прост, распространен и активно используется».
«Чтобы оценить вероятность заражения обнаруженной нами проблемой, мы развернули уязвимое приложение службы приложений Azure, связали его с неиспользуемым доменом и терпеливо ждали, попытается ли кто-нибудь получить доступ к файлам .git. В течение 4 дней после развертывания мы не были удивлены, увидев многочисленные запросы на папку .git от неизвестных участников», — объяснили исследователи.
«Небольшие группы клиентов по-прежнему потенциально уязвимы и должны предпринять определенные действия для защиты своих приложений, как подробно описано в нескольких оповещениях по электронной почте, выпущенных Microsoft в период с 7 по 15 декабря 2021 года».
Исследовательская группа Wiz отметила, что случайное раскрытие папки Git из-за ошибки пользователя является проблемой безопасности, которая затронула такие организации, как Организация Объединенных Наций и ряд правительственных сайтов Индии.
Технический директор Vectra Оливер Таваколи заявил, что последствия уязвимости будут сильно различаться. По словам Таваколи, доступ к исходному коду приложения (и, возможно, к другим файлам, которые могли оставаться в том же каталоге) может предоставить информацию, которую можно использовать для других атак.
«Тот факт, что исследователи установили что-то вроде приманки и увидели, как уязвимость используется в реальных условиях, вызывает особую озабоченность, поскольку это означает, что уязвимость не была тщательно охраняемым секретом», — объяснил Таваколи.
Директор по безопасности JupiterOne Жасмин Генри рассказала ZDNet, что утечка исходного кода ставит организацию в невероятно уязвимое положение для злоумышленников, которые могут мгновенно украсть интеллектуальную собственность или запустить эксплойт, адаптированный к уникальным уязвимостям исходного кода.
«Уязвимость NotLegit особенно показательна, поскольку она подчеркивает растущий риск безопасности, создаваемый привилегированными учетными записями и службами, даже при отсутствии ошибки разработчика», — сказал Генри.