Cacat dalam Layanan Aplikasi Azure Microsoft telah mengekspos kode sumber pelanggan selama bertahun-tahun, peneliti keamanan telah menemukan.
Menurut penyedia keamanan cloud Wiz.io, platform Microsoft untuk membangun dan menghosting web (terbuka di tab baru) aplikasi telah memuat perilaku default yang tidak aman dalam varian Linux sejak 2017, dan akibatnya, kode sumber pelanggan PHP, Node, Python, Ruby, dan Java telah terungkap.
Perusahaan menamai cacat itu ‘NotLegit’, dan mengatakan “mungkin dieksploitasi di alam liar”. Aplikasi berbasis IIS aman. Setelah menerapkan aplikasi mereka sendiri yang rentan, Wiz.io hanya membutuhkan waktu empat hari untuk membuat pelaku ancaman mencoba mengakses konten folder kode sumber di titik akhir yang terbuka (terbuka di tab baru).
perbaikan Microsoft
Namun, tidak dapat dipastikan apakah seseorang mengetahui kelemahan NotLegit, atau apakah itu hanya pemindaian biasa untuk folder .git yang terbuka.
“Sekelompok kecil pelanggan masih berpotensi terpapar dan harus mengambil tindakan pengguna tertentu untuk melindungi aplikasi mereka, sebagaimana dirinci dalam beberapa peringatan email yang dikeluarkan Microsoft antara 7 – 15 Desember 2021,” kata Wiz.io.
Microsoft mengakui kekurangan tersebut, dan mengatakan sudah melakukan perbaikan.
“MSRC diberitahu oleh Wiz.io, tentang masalah di mana pelanggan dapat secara tidak sengaja mengonfigurasi folder .git untuk dibuat di root konten, yang akan menempatkan mereka pada risiko pengungkapan informasi. Ini, jika digabungkan dengan aplikasi yang dikonfigurasi untuk menyajikan konten statis, memungkinkan orang lain mengunduh file yang tidak dimaksudkan untuk umum, ”kata Microsoft (terbuka di tab baru) dalam sebuah pengumuman.
Untuk mengatasi masalah ini, Microsoft memperbarui semua citra PHP untuk melarang penyajian folder .git sebagai konten statis sebagai tindakan pertahanan mendalam, memberi tahu pelanggan yang terkena dampak, serta mereka yang mengunggah folder .git ke direktori konten, dan memperbaruinya Dokumen Rekomendasi Keamanan dengan bagian tambahan untuk mengamankan kode sumber. Terakhir, ini juga memperbarui dokumentasi untuk penerapan di tempat.
Melalui Komputer Bleeping (terbuka di tab baru)