Một lỗ hổng bảo mật đã được phát hiện trong Dịch vụ ứng dụng Azure của Microsoft dẫn đến việc lộ mã nguồn của các ứng dụng khách hàng được viết bằng Java, Node, PHP, Python và Ruby trong ít nhất bốn năm kể từ tháng 9 năm 2017.
Lỗ hổng có tên mã “NotLegit” đã được các nhà nghiên cứu Wiz báo cáo cho gã khổng lồ công nghệ vào ngày 7 tháng 10 năm 2021, sau đó các biện pháp giảm nhẹ đã được thực hiện để sửa lỗi tiết lộ thông tin vào tháng 11. Microsoft cho biết “một nhóm nhỏ khách hàng có giới hạn”, thêm vào đó “Những khách hàng đã triển khai mã cho App Service Linux thông qua Local Git sau khi tệp đã được tạo trong ứng dụng là những khách hàng bị ảnh hưởng duy nhất.”
Azure App Service (hay còn gọi là Azure Web Apps) là một nền tảng dựa trên điện toán đám mây để xây dựng và lưu trữ các ứng dụng web. Nó cho phép người dùng triển khai mã nguồn và tạo tác cho dịch vụ bằng cách sử dụng kho lưu trữ Git cục bộ hoặc thông qua các kho lưu trữ trên GitHub và Bitbucket.
Hành vi mặc định không an toàn xảy ra khi phương thức Git cục bộ được sử dụng để triển khai Dịch vụ ứng dụng Azure, dẫn đến tình huống trong đó kho lưu trữ Git được tạo trong một thư mục có thể truy cập công khai (home / site / wwwroot).
Mặc dù Microsoft thêm tệp “web.config” vào thư mục .git – chứa trạng thái và lịch sử của kho lưu trữ – để hạn chế quyền truy cập công khai, các tệp cấu hình chỉ được sử dụng với các ứng dụng C # hoặc ASP.NET dựa trên chính Microsoft Máy chủ web IIS, loại bỏ các ứng dụng được mã hóa bằng các ngôn ngữ lập trình khác như PHP, Ruby, Python hoặc Node được triển khai với các máy chủ web khác nhau như Apache, Nginx và Flask.
“Về cơ bản, tất cả những gì mà một tác nhân độc hại phải làm là tìm nạp thư mục ‘/.git' từ ứng dụng đích và truy xuất mã nguồn của nó”, nhà nghiên cứu Shir Tamari của Wiz cho biết. “Những kẻ độc hại liên tục quét Internet để tìm các thư mục Git bị lộ mà từ đó chúng có thể thu thập bí mật và tài sản trí tuệ. Bên cạnh khả năng nguồn chứa bí mật như mật khẩu và mã thông báo truy cập, mã nguồn bị rò rỉ thường được sử dụng cho các cuộc tấn công tinh vi hơn.”
“Việc tìm kiếm các lỗ hổng trong phần mềm dễ dàng hơn nhiều khi có mã nguồn,” Tamari nói thêm.
.
