OzzTech - Azure App Service’te 4 Yıllık Hata

Azure App Service’te 4 Yıllık Hata

azure

Microsoft'un Azure Uygulama Hizmetinde, Eylül 2017'den bu yana en az dört yıl boyunca Java, Node, PHP, Python ve Ruby ile yazılmış müşteri uygulamalarının kaynak kodunun açığa çıkmasına neden olan bir güvenlik açığı ortaya çıkarıldı.

"NotLegit" kod adlı güvenlik açığı, 7 Ekim 2021'de Wiz araştırmacıları tarafından teknoloji devine bildirildi ve ardından Kasım ayında bilgi ifşa hatasını düzeltmek için hafifletmeler yapıldı. Microsoft, "sınırlı bir müşteri alt kümesinin" risk altında olduğunu söyledi ve "Dosyalar uygulamada oluşturulduktan sonra Yerel Git aracılığıyla App Service Linux'a kod dağıtan müşteriler, etkilenen tek müşterilerdi" diye ekledi.

Azure Uygulama Hizmeti aka Azure Web Uygulamaları, web uygulamaları oluşturmak ve barındırmak için bulut bilişim tabanlı bir platformdur. Kullanıcıların yerel bir Git deposu kullanarak veya GitHub ve Bitbucket'te barındırılan depolar aracılığıyla kaynak kodunu ve yapıtları hizmete dağıtmasına olanak tanır.

azure

Güvenli olmayan varsayılan davranış, Azure App Service'e dağıtmak için Yerel Git yöntemi kullanıldığında ortaya çıkar ve Git deposunun genel olarak erişilebilir bir dizinde ev/site/wwwroot oluşturulduğu bir senaryoyla sonuçlanır.

Microsoft, genel erişimi kısıtlamak için havuzun durumunu ve geçmişini içeren .git klasörüne bir "web.config" dosyası eklese de, yapılandırma dosyaları yalnızca Microsoft'un kendi uygulamalarına dayanan C# veya ASP.NET uygulamalarıyla kullanılır. IIS web sunucuları, Apache, Nginx ve Flask gibi farklı web sunucularıyla dağıtılan PHP, Ruby, Python veya Node gibi diğer programlama dillerinde kodlanmış uygulamaları dışarıda bırakır.

Wiz araştırmacısı Shir Tamari, "Temelde, kötü niyetli bir aktörün tek yapması gereken, hedef uygulamadan '/.git' dizinini almak ve kaynak kodunu almaktı." Dedi. "Kötü niyetli aktörler, sırları ve fikri mülkiyeti toplayabildikleri açıkta bulunan Git klasörleri için sürekli interneti tarıyorlar. Kaynağın parolalar ve erişim belirteçleri gibi sırlar içerme olasılığının yanı sıra, sızdırılmış kaynak kodu genellikle daha karmaşık saldırılar için kullanılıyor."

Tamari, "Kaynak kodu mevcut olduğunda yazılımdaki güvenlik açıklarını bulmak çok daha kolay" diye ekledi.

Bu makalemizi beğendiyseniz sizleri Active Directory Hataları Yeni Açıklar Doğurabilir adlı makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/active-directory-hatalari-yeni-aciklar-dogurabilir/


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.