Microsoft Azure App Service Hizmetindeki Zafiyet Uygulama Kaynak Kod İfşasına Neden Oldu

Web uygulamaları oluşturmak ve barındırmak için Microsoft tarafından yönetilen bir platform olan Azure App Service’te bulunan bir güvenlik açığı, 2017’den bu yana en az dört yıl boyunca PHP, Node, Python, Ruby veya Java müşteri kaynak kodunun ifşa olmasına neden olduğu belirtildi.

Bulut güvenliği sağlayıcısı Wiz.io’daki araştırmacılar tarafından keşfedilen ve bildirilen zafiyetten yalnızca Azure App Service Linux müşterileri etkilendi ve Azure App Service Windows müşterileri tarafından dağıtılan IIS tabanlı uygulamalar etkilenmedi. Wiz.io, “‘NotLegit’ olarak adlandırdığımız güvenlik açığı Eylül 2017’den beri var ve muhtemelen saldırganlar tarafından istismar edildi” diye ekledi.

Sadece dört gün içinde, saldırganların açıkta kalan kaynak kodu klasörünün içeriğine erişmeye yönelik ilk girişimlerini gördüler.

Kusur azaltıldı, müşteriler bilgilendirildi

Microsoft, .git klasörünün statik içerik olarak sunulmasına izin vermemek için PHP görüntülerini güncelleyerek kusuru azalttı. Azure App Service belgeleri, uygulamaların kaynak kodunun  ve  yerinde dağıtımların düzgün bir şekilde güvence altına alınmasına ilişkin yeni bir bölümle de güncelleştirildi.

NotLegit güvenlik açığı ve ifşa zaman çizelgesi hakkında daha fazla teknik ayrıntı,  Microsoft’un blog gönderisinde  ve  Wiz Research Team’in raporunda bulunabilir .

Kaynak: bleepingcomputer.com