آسیب‌پذیریِ چهار ساله در سرویس اپ مایکروسافت آژور

08 دی 1400 آسیب‌پذیریِ چهار ساله در سرویس اپ مایکروسافت آژور

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به نقل از محققین، سرویس اپ مایکروسافت آژور[1] آسیب‌پذیری چهار ساله‌ای دارد که می‌تواند کد منبع اپ‌های وبی را که به زبان‌های PHP، Python، Ruby یا Node نوشته‌ شده‌اند را آشکار کند. این باگ به طور قطع بعنوان آسیب‌پذیر روز صفر در محیط بیرون اکسپلویت می‌شده است. در ادامه با ما همراه شوید تا این موضوع را مورد بررسی بیشتر قرار دهیم. مایکروسافت نام این آسیب‌پذیری را NotLegit گذاشته و قدمت آن را از سپتامبر 2017 اعلام کرده است. سرویس اپ آژور (با نام مستعار Azure Web Apps) یک پلت‌فرم مبتنی بر رایانش کلود است مخصوص میزبانی وبسایت‌ها و اپ‌های وبی. Local Git در همین اثنا به توسعه‌دهندگان اجازه می‌دهد تا یک مخزن داخلی Git در کانتینر سرویس اپ آژور راه‌اندازی کنند تا از این طریق کد مستقیم در سرور به کار گرفته شود. بعد از این استقرار، اپ برای هر کسی در محیط اینترنت تحت دامنه‌ی  *.azurewebsites.net قابل‌دسترسی خواهد شد.

موقع استفاده از  Local Git، فولدر Git نیز روی سیستم‌های پچ‌نشده آپلود و به طور عمومی قابل‌دسترسی خواهد شد و این مسئله را چالش‌برانگیز می‌کند. استقرار آن در واقع در دایرکتوری /home/site/wwwroot خواهد بود جایی که هر کسی بدان دسترسی دارد. به نقل از شرکت مایکروسافت این از منظر امنیتی پیامدهای جدی‌ای دارد. محققین در همین هفته جاری در پستی چنین نوشتند، «جدا ازاینکه امکان دارد منبع، حاوی موارد محرمانه‌ای چون پسوردها و توکن‌های دسترسی باشد، منبع کد نشت‌شده اغلب برای حملات پیچیده‌ی آتی مورد استفاده قرار می‌گیرد مانند جمع‌آوری اطلاعات روی بخش توسعه و تحقیق و پیدا کردن آسیب‌پذیری‌های نرم‌افزاری».

«موقعی که منبع کد قابل‌دسترس باشد پیدا کردن آسیب‌‌پذیری‌های داخل نرم‌افزار به مراتب آسانتر خواهدشد». آن‌ها در ادامه افزودند تنها کاری که عوامل آلودگی باید می‌کردند این بود که از اپ تارگت، دایرکتوری  ‘/.git’ را بگیرند و منبع کدش را بازیابی کنند.

کاهش میزان تخریب

مایکروسافت تلاش کرد تا با افزودن فایل web.config به فولدر Git در دایرکتوری عمومی که دسترسی عمومیرا محدود می‌کرد از اثر تخریب بکاهد اما ظاهراً این اقدام صرفاً کافی نبوده است. به نقل از  Wiz، «تنها وب‌سرور IIS مایکروسافت فایل‌های web.config را مدیریت می‌کند اما اگر از PHP, Ruby, Python  یا Node استفاده کنید ماجرا فرق می‌کند. این زبان‌های برنامه‌نویسی در وب‌سرورهای مختلفی مستقر می‌شوند (مانندApache, Nginx, Flask و غیره) که فایل‌های web.config را مدیریت نکرده و باعث می‌شود هیچ کاهشی در اثر آلودگی و تخریب متوجه آن‌ها نشود. بنابراین آن‌ها تماماً آسیب‌پذیر باقی خواهند ماند». Wiz این باگ خوش‌نشین را در ماه اکتبر به مایکروسافت گزارش کرد و برای این کشف پاداش 7500 دلاری دریافت کرد. مایکروسافت هم بین 7 تا 15 دسامبر این باگ را از طریق ایمیلی برای کاربران قربانی برطرف کرد.

احتمال اکسپلویت در محیط بیرون

فولدرهای Git اغلب به اشتباه با تنظیمات بد در معرض قرار می‌گیرند (در این سناریوی خاص منظورمان آسیب‌پذیری‌ها نیستند) و در نتیجه مجرمان سایبری به دنبال آن‌ها می‌گردند. محققین هشدار داده‌اند که، «یک فولدر Git در معرض قرار گرفته معضل امنیتی رایجی است که کاربران بدون آنکه بدانند خود را گرفتارش می‌کنند».

«عاملین این اقدام مخرب دائماً با اسکن اینترنت در حال گشتن به دنبال فولدرهای Git هستند تا بدین‌ترتیب از آن‌ها به اطلاعات محرمانه و مالکیت فکری برسند».

محققین اضافه کردند، «ما بی‌صبرانه صبر کردیم تا ببینیم کسی سعی می‌کند به فایل‌های Git برسد یا نه. ظرف چهار روز استقرار تعجب نکردیم وقتی دیدیم چندین درخواست از سوی عاملین تهدید برای فولدر Git آمده... این متود اکسپلویت بسیار ساده و رایج است و خیلی از آن استفاده می‌شود». کاربران زیر می‌بایست خطر بالقوه را ارزیابی کرده و مطمئن شوند سیستم‌هایشان آپدیت شده است.

  •         کاربرانی که کد را از طریق  FTP یا Web Deploy و یا Bash/SSH به کار بردند و نتیجه‌اش این شد که فایل‌ها پیش از هر استقرار git، در اپ وبی آغاز شدند.
  •         کاربرانی که LocalGit را روی اپ وبی فعالسازی کرده بودند.
  •         کاربرانی که در ادامه کلون Git را برای نشر آپدیت‌ها می‌آورند.

محققین خاطرنشان کردند، از آنجایی که مشکل امنیتی در یک سرویس آژور بوده است، کاربران کلود در مقیاس بزرگ و بدون اینکه آگاهی نسبت به این اتفاق یا کنترلی روی آن داشته باشند داشته باشند، در معرض خطر قرار گرفتند.

 

[1] Microsoft Azure App Service

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد