Lale Çorumlu

Microsoft, bazı Microsoft Azure müşterilerine Azure App Service'teki ciddi bir güvenlik açığının yüzlerce kaynak kod deposunun açığa çıkmasına neden olduğunu sessizce bildirmeye başladı.

Microsoft'un onayı, İsrail bulut güvenliği girişimi Wiz tarafından bildirilmesinden iki aydan fazla bir süre sonra ve Redmond'un kusuru sessizce düzeltmesinden ve risk altında olduğuna inanılan "sınırlı bir müşteri alt kümesine" bildirimler yayınlamasından haftalar sonra geldi.

Bir danışma belgesinde, Microsoft Güvenlik Yanıt Merkezi, kusuru, müşterilerin içerik kökünde oluşturulacak .git klasörünü istemeden yapılandırabilecekleri ve bu da onları bilgilerin ifşası için riske atabilecek bir sorun olarak tanımladı.

“Bu, statik içerik sunmak için yapılandırılmış bir uygulama ile birleştirildiğinde, başkalarının kamuya açık olması amaçlanmayan dosyaları indirmesini mümkün kılar. Bu nedenle risk altında olduğuna inandığımız sınırlı sayıda müşteriyi bilgilendirdik ve uygulamalarını güvence altına almak için müşterilerimizle birlikte çalışmaya devam edeceğiz”

dedi.

Şirket, içerik kök dizininde dosyalar oluşturulduktan veya değiştirildikten sonra Yerel Git'i kullanarak uygulamaları dağıtan App Service Linux müşterilerinin etkileneceği konusunda uyardı.

Redmond,

"İçerik klasöründeki .git klasörünün statik içerik sunan uygulama ile birleşimi, uygulamayı kaynak koduna maruz kalmaya açık hale getiriyor,"

diye ekledi.

Wiz araştırma ekibinden ayrı bir teknik notta , kusur, "Yerel Git" kullanılarak dağıtılan PHP, Python, Ruby veya Node ile yazılmış müşteri uygulamalarının kaynak kodunu açığa çıkaran Azure App Service'teki güvenli olmayan bir varsayılan davranış olarak tanımlanıyor.

Şirket, "NotLegit" olarak adlandırdığımız güvenlik açığı Eylül 2017'den beri var ve muhtemelen vahşi ortamda istismar edildi" diye uyardı.

Wiz araştırmacıları, istismarı “son derece kolay” olarak tanımladılar ve bilinmeyen kötü niyetli aktörlerin zaten istismar başlattığına dair işaretler olduğunu kaydetti.

"Bulduğumuz sorunla karşılaşma olasılığını değerlendirmek için, güvenlik açığı bulunan bir Azure App Service uygulamasını dağıttık, onu kullanılmayan bir etki alanına bağladık ve .git dosyalarına erişmeye çalışan birinin olup olmadığını görmek için sabırla bekledik. Dağıtımdan sonraki 4 gün içinde, bilinmeyen aktörlerden .git klasörü için birden fazla istek görmek bizi şaşırtmadı" dedi.

Wiz,

"Bu istismar yöntemi son derece kolay, yaygın ve aktif olarak istismar edildiğinden, etkilenen tüm kullanıcıları uygulamalarının kaynak kodunu gözden geçirmeye ve potansiyel riski değerlendirmeye teşvik ediyoruz,"

diye ekledi.

İsrail merkezli Wiz'deki araştırmacılar , Microsoft'un amiral gemisi Azure bulut bilgi işlem altyapısında, ChaosDB ve OMIGOD iki örnek olan boşluklu güvenlik açıklarını aktif olarak bulup belgeliyorlar.

Kaynak: https://www.securityweek.com/microsoft-confirms-notlegit-azure-flaw-exposed-source-code-repositories