Microsoft уведомила небольшую группу клиентов Azure о том, что они пострадали от недавно обнаруженной ошибки, присутствовавшей в коде с 2017 года. Из-за бага исходный код утекал из репозиториев и был доступен посторонним.
Уязвимость была обнаружена еще в сентябре, ИБ-компанией Wiz, занимающейся облачной безопасностью. Исправление выпустили в ноябре, и Microsoft провела последние недели, выясняя, сколько именно клиентов пострадали от этой ошибки.
Уязвимость получила имя NotLegit и связана с Azure App Service, функцией облака Azure, которая позволяет клиентам развертывать сайты и веб-приложения из репозитория с исходным кодом. Исследователи объясняют, что в ситуациях, когда клиенты Azure выбирали опцию Local Git для развертывания своих сайтов из репозитория Git, размещенного на том же сервере Azure, исходный код оказывался доступен в интернете.
Microsoft сообщает, что из-за этой ошибки страдали любые приложения на PHP, Node, Ruby и Python, развернутые с помощью упомянутого метода. Впрочем подчеркивается, что баг затронул только приложения, развернутые на серверах Azure под управлением Linux, но не приложения, размещенные в системах под управлением Windows Server.
Интересно, что, по данным Wiz, уязвимость коснулась даже приложений, развернутых еще в 2013 году, хотя сама проблема появилась в коде только в 2017 году.
Исследователи предупреждают, что наибольшую опасность представляли случаи, когда утекший исходный код содержал файлы конфигурации .git, которые сами по себе содержат пароли и токены для других клиентских систем, включая базы данных и API. Существует несколько ботнетов, которые постоянно сканируют сеть в поисках случайно забытых в открытом доступе файлов .git, ведь они могут помочь злоумышленникам получить доступ к корпоративной инфраструктуре. Хотя преступники могли не знать об уязвимости NotLegit, эксперты Wiz считают, что уязвимость, скорее всего, использовалась хакерами косвенно, посредством таких сканов.
