Microsoft Azure Zero-Day 4 Tahun Mengekspos Kode Sumber Aplikasi Web

Layanan Aplikasi Microsoft Azure memiliki kerentanan berusia empat tahun yang dapat mengungkapkan kode sumber aplikasi web yang ditulis dalam PHP, Python, Ruby atau Node, kata para peneliti, yang disebarkan menggunakan Git Lokal. alam liar sebagai zero-day, menurut analisis dari Wiz. Perusahaan menjuluki kerentanan “NotLegit,” dan mengatakan itu telah ada sejak September 2017.

Layanan Aplikasi Azure (alias Azure Web Apps) adalah platform berbasis komputasi awan untuk hosting situs web dan aplikasi web. Sementara itu, Git Lokal memungkinkan pengembang untuk memulai repositori Git lokal di dalam wadah Layanan Aplikasi Azure untuk menyebarkan kode langsung ke server. Setelah penerapan, aplikasi dapat diakses oleh siapa saja di internet di bawah domain *.azurewebsites.net.

Masalah muncul karena saat menggunakan Git Lokal, folder Git juga diunggah dan dapat diakses publik pada sistem yang belum ditambal; itu ditempatkan di direktori “/home/site/wwwroot”, yang dapat diakses siapa saja.

Ini memiliki konsekuensi serius dari perspektif keamanan, menurut firm.

“Selain kemungkinan bahwa sumbernya berisi rahasia seperti kata sandi dan token akses, bocor kode sumber sering digunakan untuk serangan canggih lebih lanjut seperti mengumpulkan intel di divisi R&D, mempelajari infrastruktur internal, dan menemukan kerentanan perangkat lunak, ”para peneliti mencatat dalam sebuah posting minggu ini. “Menemukan kerentanan dalam perangkat lunak jauh lebih mudah ketika kode sumber tersedia.”

Mereka menambahkan, “pada dasarnya, semua aktor jahat harus mengambil direktori ‘/.git’ dari aplikasi target, dan mengambil kode sumbernya. ”

Botched Mitigation

Microsoft awalnya menerapkan mitigasi, dalam bentuk menambahkan file “web.config” ke folder Git dalam direktori publik yang membatasi akses publik; ternyata ini adalah perbaikan yang tidak lengkap.

“Hanya server web IIS Microsoft yang menangani file web.config,” menurut Wiz. “Tetapi [jika] Anda menggunakan PHP, Ruby, Python atau Node…bahasa pemrograman ini digunakan dengan server web yang berbeda (Apache, Nginx, Flask, dll.), yang tidak menangani file web.config, sehingga tidak terpengaruh oleh mitigasi dan oleh karena itu benar-benar rentan.”

Wiz melaporkan bug yang tersisa ke Microsoft pada bulan Oktober dan dianugerahi hadiah $7.500 untuk penemuan tersebut; dan raksasa komputasi itu menerapkan perbaikan antara 7-15 Desember melalui email ke pengguna yang terpengaruh.

Kemungkinan Dieksploitasi di folder Wild

Git sering keliru diekspos melalui kesalahan konfigurasi (bukan hanya kerentanan, seperti dalam kasus ini), dan dengan demikian, penjahat dunia maya berada di cari mereka, para peneliti memperingatkan.

“Folder Git yang terbuka adalah masalah keamanan umum yang dibuat pengguna tanpa menyadarinya,” kata mereka. “Aktor jahat terus-menerus memindai internet untuk menemukan folder Git yang darinya mereka dapat mengumpulkan rahasia dan kekayaan intelektual.”

Wiz menyebarkan aplikasi Layanan Aplikasi Azure yang rentan dan menautkannya ke domain yang tidak digunakan untuk melihat apakah akan ada eksploitasi.

“[ Kami] menunggu dengan sabar untuk melihat apakah ada yang mencoba mengakses file Git,” kata mereka. “Dalam empat hari penerapan, kami tidak terkejut melihat banyak permintaan untuk folder Git dari aktor yang tidak dikenal….metode eksploitasi ini sangat mudah, umum, dan dieksploitasi secara aktif.”

Pengguna berikut harus mengevaluasi potensi risiko, menurut Wiz, dan pastikan untuk memperbarui sistem mereka:

<

ul>

  • Pengguna yang menerapkan kode melalui FTP atau Web Deploy atau Bash/SSH yang mengakibatkan file diinisialisasi di aplikasi web sebelum penerapan git apa pun;liu

    <

    ul>iPengguna yang mengaktifkan LocalGit di aplikasi web;liu

      iPengguna yang selanjutnya Git clone/push sequence untuk mempublikasikan update.

    “Karena masalah keamanan ada di layanan Azure, pengguna cloud terpapar dalam skala besar, dan tanpa mereka sadari atau kendalikan,” catat para peneliti.