Web uygulamaları oluşturmak ve barındırmak için Microsoft tarafından yönetilen bir platform olan Azure App Service’te bulunan bir güvenlik açığı, 2017’den bu yana en az dört yıl boyunca PHP, Node, Python, Ruby veya Java müşteri kaynak kodunun ifşa olmasına neden olduğu belirtildi.
Bulut güvenliği sağlayıcısı Wiz.io’daki araştırmacılar tarafından keşfedilen ve bildirilen zafiyetten yalnızca Azure App Service Linux müşterileri etkilendi ve Azure App Service Windows müşterileri tarafından dağıtılan IIS tabanlı uygulamalar etkilenmedi. Wiz.io, “‘NotLegit’ olarak adlandırdığımız güvenlik açığı Eylül 2017’den beri var ve muhtemelen saldırganlar tarafından istismar edildi” diye ekledi.
Sadece dört gün içinde, saldırganların açıkta kalan kaynak kodu klasörünün içeriğine erişmeye yönelik ilk girişimlerini gördüler.
Kusur azaltıldı, müşteriler bilgilendirildi
Microsoft, .git klasörünün statik içerik olarak sunulmasına izin vermemek için PHP görüntülerini güncelleyerek kusuru azalttı. Azure App Service belgeleri, uygulamaların kaynak kodunun ve yerinde dağıtımların düzgün bir şekilde güvence altına alınmasına ilişkin yeni bir bölümle de güncelleştirildi.
NotLegit güvenlik açığı ve ifşa zaman çizelgesi hakkında daha fazla teknik ayrıntı, Microsoft’un blog gönderisinde ve Wiz Research Team’in raporunda bulunabilir .
Kaynak: bleepingcomputer.com