El equipo de investigación de Wiz detectó un problema de seguridad en Azure App Service. Este exponía el código fuente de las aplicaciones de los clientes escritas en PHP, Python, Ruby o Node, que se desplegaban utilizando "Local Git", como anunció públicamente hace tres días. La vulnerabilidad, bautizada como "NotLegit", existe desde septiembre de 2017 y probablemente ha sido explotada, según los investigadores de Wiz, la cual informó a Microsoft de este problema en octubre de este año.
Wiz dijo que todas las aplicaciones PHP, Node, Ruby y Python que se desplegaron usando "Local Git" en una aplicación limpia por defecto en Azure App Service desde septiembre de 2017 están afectadas. Además, aquellas que se desplegaron en Azure App Service desde septiembre de 2017 utilizando cualquier fuente Git, después de que se creó o modificó un archivo en el contenedor de la aplicación, también lo están.
Solo Linux se ha visto afectado, según Microsoft
El Centro de Respuesta de Seguridad de Microsoft ha informado en su blog cómo ha sido su respuesta al fallo "NotLegit" en Azure. Según la de Redmond, esto solo ha afectado a los clientes de App Service en Linux. Explicaron que esto sucede "porque el sistema intenta preservar los archivos actualmente desplegados como parte del contenido del repositorio, y activa lo que se conoce como despliegues en el lugar por el motor de despliegue (Kudu)".
"No todos los usuarios de Local Git se vieron afectados. Los clientes que desplegaron el código en App Service Linux a través de Local Git después de que los archivos fueran generados en la aplicación fueron los únicos clientes afectados", dicen desde Microsoft. Azure App Service en Windows no se ha visto afectado, ya que se ejecuta en un entorno basado en IIS.
El director de tecnología de Wiz, Ami Luttwak, es un antiguo directivo del grupo de seguridad en la nube de Microsoft y no es la primera vez que esta empresa descubre fallos en software de la de Redmond.
En agosto, esta compañía descubrió una vulnerabilidad que les permitía acceder a una gran cantidad de datos de los clientes de servicios cloud de Azure de Microsoft, concretamente a través de la base de datos Cosmos. La empresa pudo acceder a sus bases de datos y en su descubrimiento tenían la capacidad no solo de ver el contenido, sino también de cambiar y eliminar información de su base de datos Cosmos de Microsoft Azure.
La respuesta de Microsoft para solucionar las vulnerabilidades
Microsoft ha dicho que las imágenes utilizadas para el tiempo de ejecución de PHP estaban configuradas para servir todo el contenido estático en la carpeta raíz del contenido. Después de conocer este problema,** Microsoft ha actualizado todas las imágenes de PHP para que no sirvan la carpeta .git como contenido estático** como medida de defensa.
Por su parte, para Node, Python, Java y Ruby, "ya que el código de la aplicación controla si sirve contenido estático", la empresa recomienda a los clientes que revisen el código para asegurarse de que sólo se sirve el código relevante.
Microsoft afirma que ha notificado a los clientes que se vieron afectados sobre cómo mitigar el problema. También se informó a los clientes que tenían la carpeta .git cargada en el directorio de contenido. La firma ha actualizado su documento de recomendaciones de seguridad con una sección adicional sobre la seguridad del código fuente.
