Une faille de sécurité trouvée dans Azure App Service, une plate-forme gérée par Microsoft pour la création et l’hébergement d’applications Web, a conduit à l’exposition du code source client PHP, Node, Python, Ruby ou Java déployé sur l’infrastructure cloud de Microsoft.
Seuls les clients Azure App Service Linux ont été affectés par le problème découvert et signalé par les chercheurs du fournisseur de sécurité cloud Wiz.io, les applications basées sur IIS déployées par les clients Azure App Service Windows n’étant pas affectées.
« La vulnérabilité, que nous avons baptisée » NotLegit « , existe depuis septembre 2017 et a probablement été exploitée à l’état sauvage », Wiz.io ajouté.
« De petits groupes de clients sont toujours potentiellement exposés et devraient prendre certaines mesures d’utilisateur pour protéger leurs applications, comme détaillé dans plusieurs alertes par e-mail que Microsoft a émises entre le 7 et le 15 décembre 2021. »
Les chercheurs ont testé leur théorie selon laquelle le comportement par défaut non sécurisé dans Azure App Service Linux a probablement été exploité dans la nature en déployant leur propre application vulnérable.
En seulement quatre jours, ils ont vu les premières tentatives faites par des acteurs malveillants pour accéder au contenu du dossier de code source exposé.
Bien que cela puisse indiquer que les attaquants connaissent déjà la faille NotLegit et essaient spécifiquement de trouver le code source des applications Azure App Service exposées, ces analyses pourraient également être expliquées comme des analyses normales pour les dossiers .git exposés.
Comme EZpublish-france.fr l’a signalé précédemment, les attaquants ont eu accès à des fichiers appartenant à des organisations de premier plan après avoir trouvé des dossiers publics .git, y compris plusieurs sites du gouvernement indien et le Programme des Nations Unies pour l’environnement (PNUE).
Les applications Azure App Service affectées incluent toutes les applications PHP, Node, Python, Ruby et Java codées pour servir du contenu statique si :
- déployé à l’aide de Local Git sur une application par défaut propre dans Azure App Service à partir de 2013
- déployé dans Azure App Service depuis 2013 à l’aide de n’importe quelle source Git, après qu’un fichier a été créé ou modifié dans le conteneur de l’application
Défaut atténué, clients exposés notifiés
« MSRC a été informé par Wiz.io [..] d’un problème où les clients peuvent involontairement configurer le dossier .git à créer dans la racine de contenu, ce qui les exposerait à un risque de divulgation d’informations », Microsoft mentionné aujourd’hui.
« Ceci, lorsqu’il est combiné à une application configurée pour servir du contenu statique, permet à d’autres de télécharger des fichiers qui ne sont pas destinés à être publics. »
L’équipe Azure App Service et MSRC ont déjà appliqué un correctif conçu pour couvrir les clients les plus touchés et alerté tous les clients encore exposés après avoir activé le déploiement sur place ou téléchargé le dossier .git dans le répertoire de contenu.
Microsoft a atténué la faille en mettant à jour les images PHP pour interdire la diffusion du dossier .git en tant que contenu statique.
La documentation Azure App Service a également été mise à jour avec une nouvelle section sur correctement sécuriser le code source des applications et déploiements sur place.
De plus amples détails techniques sur la faille de sécurité NotLegit et un calendrier de divulgation peuvent être trouvés dans Article de blog de Microsoft et Rapport de l’équipe de recherche Wiz.