La empresa de seguridad en la nube Wiz descubrió el error en octubre.
El Security Response Center de Microsoft ha publicado una publicación de blog que explica su respuesta al error «NotLegit» en Azure que fue descubierto por la empresa de seguridad en la nube Wiz.
Wiz dijo que todas las aplicaciones PHP, Node, Ruby y Python que se implementaron usando «Local Git» en una aplicación predeterminada limpia en Azure App Service desde septiembre de 2017 se ven afectadas. Agregaron que todas las aplicaciones PHP, Node, Ruby y Python que se implementaron en Azure App Service desde septiembre de 2017 en adelante utilizando cualquier fuente Git, después de que se creó o modificó un archivo en el contenedor de la aplicación, también se vieron afectadas.
Microsoft aclaró en su respuesta que el problema afecta a los clientes de App Service Linux que implementaron aplicaciones usando Local Git después de que se crearon o modificaron archivos en el directorio raíz de contenido. Explicaron que esto sucede «porque el sistema intenta preservar los archivos actualmente implementados como parte del contenido del repositorio y activa lo que se conoce como implementaciones en el lugar por el motor de implementación (Kudu)».
«Las imágenes utilizadas para el tiempo de ejecución de PHP se configuraron para servir todo el contenido estático en la carpeta raíz de contenido. Después de que se nos informó sobre este problema, actualizamos todas las imágenes de PHP para no permitir el servicio de la carpeta .git como contenido estático como una medida de defensa en profundidad. «, Explicó Microsoft.
Señalaron que no todos los usuarios de Local Git se vieron afectados por la vulnerabilidad y que Azure App Service Windows no se vio afectado.
Microsoft ha notificado a los clientes que se ven afectados por el problema, incluidos aquellos que se vieron afectados debido a la activación de la implementación local y aquellos que tenían la carpeta .git cargada en el directorio de contenido. La compañía también actualizó su documento de Recomendaciones de seguridad con una sección adicional sobre cómo proteger el código fuente. También actualizó la documentación para implementaciones in situ.
El equipo de investigación de Wiz dijo el martes que notificó por primera vez a Microsoft sobre el problema el 7 de octubre y trabajó con la compañía durante todo el mes para solucionarlo. La solución se implementó en noviembre y los clientes fueron notificados en diciembre. Wiz recibió una recompensa por error de $ 7500.
Microsoft no dijo si la vulnerabilidad ha sido explotada, pero Wiz dijo que «NotLegit» es «extremadamente fácil, común y está siendo explotado activamente».
«Para evaluar la posibilidad de exposición al problema que encontramos, implementamos una aplicación de Azure App Service vulnerable, la vinculamos a un dominio no utilizado y esperamos pacientemente para ver si alguien intentó acceder a los archivos .git. Dentro de los 4 días posteriores a la implementación, no nos sorprendió ver múltiples solicitudes de la carpeta .git de actores desconocidos «, explicaron los investigadores.
«Los grupos pequeños de clientes todavía están potencialmente expuestos y deben tomar ciertas acciones de los usuarios para proteger sus aplicaciones, como se detalla en varias alertas por correo electrónico que Microsoft emitió entre el 7 y el 15 de diciembre de 2021».
El equipo de investigación de Wiz señaló que exponer accidentalmente la carpeta Git a través de un error del usuario es un problema de seguridad que ha afectado a organizaciones como las Naciones Unidas y varios sitios del gobierno indio .
El director de tecnología de Vectra, Oliver Tavakoli, dijo que el impacto de la vulnerabilidad será muy variable. Acceder al código fuente subyacente a una aplicación (y posiblemente a otros archivos que podrían haberse dejado en el mismo directorio) puede proporcionar información que podría aprovecharse para otros ataques, dijo Tavakoli.
«El hecho de que los investigadores configuraron lo que equivale a un honeypot y vieron la vulnerabilidad explotada en la naturaleza es de particular preocupación, ya que significa que la vulnerabilidad no era un secreto bien guardado», explicó Tavakoli.
La directora de seguridad de campo de JupiterOne, Jasmine Henry, dijo a ZDNet que el código fuente filtrado coloca a una organización en una posición increíblemente vulnerable a los actores de amenazas, que pueden robar instantáneamente propiedad intelectual o lanzar un exploit adaptado a debilidades únicas en el código fuente.
«La vulnerabilidad NotLegit es especialmente reveladora, ya que destaca el creciente riesgo de seguridad causado por las cuentas y los servicios privilegiados, incluso en ausencia de un error del desarrollador», dijo Henry.