Bạn đang ở tại: Trang chủ Lỗ Hổng Bảo Mật - Vulnerability

Lỗi 4 năm tuổi trong dịch vụ ứng dụng Azure đã làm lộ hàng trăm kho mã nguồn

24/12/2021 0 comment

Một lỗ hổng bảo mật đã được phát hiện trong Dịch vụ ứng dụng Azure của Microsoft dẫn đến việc lộ mã nguồn của các ứng dụng khách hàng được viết bằng Java, Node, PHP, Python và Ruby trong ít nhất bốn năm kể từ tháng 9 năm 2017.

Lỗ hổng có tên mã ” NotLegit ” đã được các nhà nghiên cứu Wiz báo cáo cho gã khổng lồ công nghệ vào ngày 7 tháng 10 năm 2021, sau đó các biện pháp giảm nhẹ đã được thực hiện để sửa lỗi tiết lộ thông tin vào tháng 11. Microsoft cho biết “một nhóm nhỏ khách hàng có giới hạn” đang gặp rủi ro, đồng thời cho biết thêm “Những khách hàng đã triển khai mã cho App Service Linux thông qua Local Git sau khi tệp đã được tạo trong ứng dụng là những khách hàng bị ảnh hưởng duy nhất.”

Các ứng dụng dịch vụ Azure (aka Azure Web Apps) là một đám mây nền tảng điện toán dựa trên để xây dựng và lưu trữ các ứng dụng web. Nó cho phép người dùng triển khai mã nguồn và tạo tác cho dịch vụ bằng cách sử dụng kho lưu trữ Git cục bộ hoặc thông qua các kho lưu trữ trên GitHub và Bitbucket.

Dịch vụ ứng dụng Azure

Hành vi mặc định không an toàn xảy ra khi phương thức Git cục bộ được sử dụng để triển khai Dịch vụ ứng dụng Azure, dẫn đến tình huống trong đó kho lưu trữ Git được tạo trong một thư mục có thể truy cập công khai (home / site / wwwroot).

Mặc dù Microsoft thêm tệp “web.config” vào thư mục .git – chứa trạng thái và lịch sử của kho lưu trữ – để hạn chế quyền truy cập công khai, các tệp cấu hình chỉ được sử dụng với các ứng dụng C # hoặc ASP.NET dựa trên chính Microsoft Máy chủ web IIS, loại bỏ các ứng dụng được mã hóa bằng các ngôn ngữ lập trình khác như PHP, Ruby, Python hoặc Node được triển khai với các máy chủ web khác nhau như Apache, Nginx và Flask.

“Về cơ bản, tất cả những gì mà một tác nhân độc hại phải làm là tìm nạp thư mục ‘/.git’ từ ứng dụng đích và truy xuất mã nguồn của nó”, nhà nghiên cứu Shir Tamari của Wiz cho biết. “Những kẻ độc hại liên tục quét Internet để tìm các thư mục Git bị lộ mà từ đó chúng có thể thu thập bí mật và tài sản trí tuệ. Bên cạnh khả năng nguồn chứa bí mật như mật khẩu và mã thông báo truy cập, mã nguồn bị rò rỉ thường được sử dụng cho các cuộc tấn công tinh vi hơn.”

“Việc tìm kiếm các lỗ hổng trong phần mềm dễ dàng hơn nhiều khi có mã nguồn,” Tamari nói thêm.

2022, aapanel, almalinux, android, apache, apple, Azure, centos, CVE, cyberpanel, cài đặt docker, directadmin, dns, docker, fastpanel, fedora, fix, install, ispconfig, lemp, linux, Log4j, macos, mariadb, microsoft, Microsoft Active Directory, modsecurity, mysql, nginx, openwrt, php, python, redis, rockylinux, security, server, theme, tplink, ubuntu, USA, user, windows, windows server, windows server 2022, wordpress
Bài trước
Bài kế

Đề xuất cho bạn

Lỗ hổng WinRAR cho phép tin tặc chạy chương trình độc hai khi bạn mở tệp lưu trữ RAR

Lỗi trên macOS có thể cho phép phần mềm độc hại vượt qua bảo mật Gatekeeper

Các gói PyPI độc hại có hơn 10.000 lượt tải xuống đã bị xóa bỏ

Hacker tích cực khai thác lỗ hổng Log4Shell để triển khai phần mềm độc hại

CISA, FBI và NSA Công bố Cố vấn chung và Máy quét các lỗ hổng Log4j

Các nhà nghiên cứu tiết lộ các lỗ hổng chưa được khắc phục trong phần mềm Microsoft Teams

Về tác giả: Vương Công Minh

Nếu bạn đang cần Hosting Wordpress nhanh và mạnh. Tôi khuyến nghị bạn tham khảo Bnix.vn - Nhà cung cấp Hosting/VPS/Server Chuyên Nghiệp Hàng Đầu Việt Nam. Đây là nhà cung cấp đang cung cấp hạ tầng để vận hành ICare24H. Bạn có thể trực tiếp trải nghiệm tốc độ Hosting trên trang web Icare24H và đừng quên dùng mã giảm giá ICARE24H để được giảm giá lên đến 49% cho tất cả các dịch vụ nhé.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *