Se ha descubierto una falla de seguridad en Azure App Service de Microsoft que ha expuesto el código fuente de las aplicaciones de los clientes escritas en Java, Node, PHP, Python y Ruby durante al menos cuatro años desde septiembre de 2017.
La vulnerabilidad con nombre en código «NotLegit» fue informada al gigante tecnológico por investigadores de Wiz el 7 de octubre de 2021, luego de lo cual se realizó una mitigación en noviembre para corregir la divulgación de información. Microsoft dijo que un «subconjunto limitado de clientes» estaba en riesgo, y agregó: «Los únicos clientes afectados fueron los clientes que implementaron código en App Service Linux a través de Local Git después de que los archivos ya estaban creados en la aplicación».
Azure App Service (también conocido como Azure Web Apps) es una plataforma basada en la nube para crear y alojar aplicaciones web. Permite a los usuarios implementar código fuente y artefactos en el servicio mediante repositorios de Git locales o mediante repositorios alojados en GitHub y Bitbucket.
El comportamiento predeterminado no seguro se produce cuando se usa el método de Git local para implementar en Azure App Service, lo que da como resultado un escenario en el que el repositorio de Git se crea en un directorio de acceso público (home / site / wwwroot).
Si bien Microsoft agrega el archivo «web.config» a la carpeta .git, que contiene el estado y el historial del repositorio, para restringir el acceso público, los archivos de configuración se usan solo con aplicaciones C # o ASP.NET que dependen de su propio IIS. Servidores web: aplicaciones codificadas en otros lenguajes de programación, como PHP, Ruby, Python o Node, que se implementan con varios servidores web, como Apache, Nginx y Flask.
«Básicamente, todo lo que tenía que hacer el actor malicioso era cargar el directorio ‘/.git’ de la aplicación de destino y obtener su código fuente», dijo el investigador de Wiz, Shir Tamari. «Los jugadores malintencionados buscan constantemente en Internet archivos Git revelados de los que puedan recopilar secretos y propiedad intelectual. Además de la posibilidad de que la fuente contenga secretos como contraseñas y tokens de acceso, el código fuente filtrado se utiliza a menudo para otros ataques sofisticados. . «
«Encontrar vulnerabilidades en el software es mucho más fácil cuando el código fuente está disponible», agregó Tamari.
