Falhas e mais falhas vêm afetando um dos principais produtos da Microsoft, a plataforma Azure. O alerta aos clientes sobre o novo bug ‘NotLegit’ do Azure foi feito pela própria Microsoft. O Security Response Center da Microsoft postou sobre isso no blog. A falha “NotLegit” no Azure foi uma descoberta da empresa de segurança em nuvem Wiz.
A Wiz diz que foram afetados todos os aplicativos PHP, Node, Ruby e Python implantados usando “Local Git” em um aplicativo padrão limpo no Azure App Service. O problema existe desde setembro de 2017. Segundo eles, todos os aplicativos que fizeram uso do PHP, Node, Ruby e Python no Azure App Service de setembro de 2017 em diante estão com sérios problemas de segurança.
De acordo com a Microsoft, clientes do App Service Linux foram afetados se tiverem implantado aplicativos usando o Git local. Isso ocorre tanto depois que os arquivos foram criados quanto se houve alguma modificação no diretório raiz de conteúdo. Isso ocorre “porque o sistema tenta preservar os arquivos atualmente implantados como parte do conteúdo do repositório e ativa o que é conhecido como implantações no local pelo mecanismo de implantação (Kudu).”
As imagens usadas para o tempo de execução do PHP foram configuradas para servir todo o conteúdo estático na pasta raiz do conteúdo. Depois que esse problema foi trazido à nossa atenção, atualizamos todas as imagens do PHP para impedir a exibição da pasta .git como conteúdo estático como uma medida de defesa em profundidade, explicou a Microsoft.
Microsoft alerta clientes sobre bug ‘NotLegit’ do Azure
Porém, não foram todos os usuários do Git Local que sofreram o problema. Além disso, o Serviço de Aplicativo do Azure não foi afetado. Todos os clientes receberam uma notificação. Isso inclui os afetados diretamente e aqueles que carregaram a pasta .git no diretório de conteúdo. As recomendações de segurança também receberam atualização nos itens de segurança. Eles mostram como proteger o código-fonte.
A Wiz notificou a Microsoft sobre o problema em 7 de outubro. Desde então, está trabalhando para que seja resolvido. E isso ocorreu há pouco tempo, mais precisamente em novembro, com os clientes tendo recebido as notificações em dezembro. Pelo trabalho, a Wiz ganhou cerca de 7 mil e quinhentos dólares.
A Microsoft não confirmou nenhum caso de exploração do bug. No entanto, a Wiz disse que “NotLegit” é “extremamente fácil, comum e está sendo explorado ativamente”.
Para avaliar a chance de exposição com o problema que encontramos, implantamos um aplicativo vulnerável do Azure App Service, vinculamos-o a um domínio não utilizado e esperamos pacientemente para ver se alguém tentava acessar os arquivos .git. Em 4 dias após a implantação, não ficamos surpresos ao ver vários pedidos para a pasta .git de atores desconhecidos, explicaram os pesquisadores.
Pequenos grupos de clientes ainda estão potencialmente expostos e devem tomar certas ações do usuário para proteger seus aplicativos, conforme detalhado em vários alertas por e-mail que a Microsoft emitiu entre 7 e 15 de dezembro de 2021.
Há pelo menos dois casos conhecidos, como as Nações Unidas e vários sites do governo indiano. O impacto da exploração teve variações diversas, como informou Oliver Tavakoli, CTO da Vectra.
O fato de que os pesquisadores configuraram o que equivale a um honeypot e viram a vulnerabilidade explorada na natureza é de particular preocupação, pois significa que a vulnerabilidade não era um segredo bem guardado, explicou Tavakoli.