Уязвимость NotLegit в Azure привела к раскрытию исходного кода репозиториев

Microsoft без лишнего шума предупредила некоторых клиентов Azure о том, что опасная уязвимость в службе приложений Azure привела к раскрытию исходного кода сотен репозиториев. Подтверждение Microsoft поступило более чем через два месяца после того, как об этом сообщил израильский стартап по облачной безопасности Wiz.

Техногигант «втихую» исправил уязвимость и уведомил об этом «ограниченный круг клиентов», предположительно находящихся в зоне риска. По словам специалистов Microsoft, из-за уязвимости клиенты могли непреднамеренно настроить папку .git для создания в корне содержимого, подвергая себя риску раскрытия информации.

«В сочетании с приложением, настроенным для обслуживания статического контента, проблема позволяла загружать файлы, не предназначенные для общего доступа. Мы уведомили ограниченную группу клиентов, которые, по нашему мнению, подвергаются риску из-за этого, и продолжим работать с нашими клиентами над обеспечением безопасности их приложений», — сообщили в Microsoft.

Компания предупредила, что проблема затрагивала клиентов службы приложений Linux, которые развертывали приложения с помощью Local Git после создания файлов или их изменения в корневом каталоге содержимого.

По словам исследовательской группы Wiz, уязвимость могла привести к раскрытию исходного кода клиентских приложений, написанных на PHP, Python, Ruby или Node, которые были развернуты с использованием Local Git.

«Уязвимость, которую мы назвали NotLegit, существует с сентября 2017 года и, вероятно, эксплуатировалась в реальных атаках. Поскольку этот метод эксплуатации чрезвычайно прост, распространен и активно используется, мы рекомендуем всем затронутым пользователям ознакомиться с исходным кодом своего приложения и оценить потенциальный риск», — предупредила компания.