最近、Webアプリケーションを構築およびホストするためのMicrosoft主導のプラットフォームであるAzure App Serviceでセキュリティ上の欠陥が発見され、PHP、Node、Python、Ruby、またはJavaクライアントがソースコードに公開されました。
さらに心配なのは、これが2017年から少なくとも4年間続いていることです。
Linux用のAzureApp Serviceのクライアントもこの問題の影響を受けましたが、Windowsクライアント用のAzure AppServiceによって展開されたIISベースのアプリケーションは影響を受けませんでした。
セキュリティ研究者は、危険な脆弱性についてマイクロソフトに警告します
Wizのセキュリティ研究者は、顧客の小グループは依然として潜在的に脆弱であり、アプリケーションを保護するために行動を起こす必要があると述べました。
このプロセスの詳細は、2021年12月7日から15日に発行されたいくつかのMicrosoftの電子メールに記載されています。
研究者は、Azure Linux App Serviceのデフォルトの安全でない動作が、独自の脆弱なアプリケーションを展開することによって実際に悪用された可能性があるという理論をテストしました。
そしてちょうど4日後、彼らはサイバー犯罪者がオープンソースフォルダのコンテンツにアクセスしようとする最初の試みを見ました。
これは、攻撃者がNotLegitの脆弱性をすでに認識しており、Azure App Serviceオープンソースアプリケーションのソースコードを見つけようとしていることを示している可能性がありますが、このスキャンは通常のオープンフォルダースキャンとして説明することもできます。ギット。
悪意のあるサードパーティは、パブリックフォルダを発見した後、既知の組織に属するファイルにアクセスしました。gitなので、問題はifではなく、whenです。
影響を受けるAzureApp Serviceアプリには、2013年以降の純粋なデフォルトのAzure App ServiceアプリでローカルGitを使用してデプロイされたときに、静的コンテンツを提供するようにコード化されたすべてのPHP、Node、Python、Ruby、およびJavaアプリが含まれます。
または、Gitソースを使用して2013年以降にAzure App Serviceにデプロイされた場合、ファイルがアプリコンテナーで作成または変更された後。
Microsoftはこの情報を確認しており、Azure App ServiceチームはMSRCとともに、最も打撃を受けた顧客を対象とした修正プログラムを既に適用しており、インプレース展開またはフォルダーのダウンロードを有効にした後も開いている顧客に警告しています。コンテンツディレクトリにgitします。
2021年12月7日から15日の間に発行されたいくつかのマイクロソフトの電子メールに詳述されているように、顧客の小グループは潜在的に脆弱なままであり、アプリケーションを保護するための措置を講じる必要があります。
レドモンドの技術大手は、PHPイメージを更新してフォルダーを無効にすることで、この欠陥に対処しました。静的コンテンツとしてのgit。
アプリケーションのソースコード と インプレースデプロイメントを適切に保護するための新しいセクションも、Azure AppServiceのドキュメントに追加されました 。
NotLegitのセキュリティ上の欠陥について詳しく知りたい場合は、Microsoftのブログ投稿で開示スケジュールを確認できます 。
この状況全体についてどう思いますか?以下のコメントセクションで私たちとあなたの意見を共有してください。
コメントを残す