روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ به نقل از محققین، سرویس اپ مایکروسافت آژور[1] آسیبپذیری چهار سالهای دارد که میتواند کد منبع اپهای وبی را که به زبانهای PHP، Python، Ruby یا Node نوشته شدهاند را آشکار کند. این باگ به طور قطع بعنوان آسیبپذیر روز صفر در محیط بیرون اکسپلویت میشده است. در ادامه با ما همراه شوید تا این موضوع را مورد بررسی بیشتر قرار دهیم. مایکروسافت نام این آسیبپذیری را NotLegit گذاشته و قدمت آن را از سپتامبر 2017 اعلام کرده است. سرویس اپ آژور (با نام مستعار Azure Web Apps) یک پلتفرم مبتنی بر رایانش کلود است مخصوص میزبانی وبسایتها و اپهای وبی. Local Git در همین اثنا به توسعهدهندگان اجازه میدهد تا یک مخزن داخلی Git در کانتینر سرویس اپ آژور راهاندازی کنند تا از این طریق کد مستقیم در سرور به کار گرفته شود. بعد از این استقرار، اپ برای هر کسی در محیط اینترنت تحت دامنهی *.azurewebsites.net قابلدسترسی خواهد شد.
موقع استفاده از Local Git، فولدر Git نیز روی سیستمهای پچنشده آپلود و به طور عمومی قابلدسترسی خواهد شد و این مسئله را چالشبرانگیز میکند. استقرار آن در واقع در دایرکتوری /home/site/wwwroot خواهد بود جایی که هر کسی بدان دسترسی دارد. به نقل از شرکت مایکروسافت این از منظر امنیتی پیامدهای جدیای دارد. محققین در همین هفته جاری در پستی چنین نوشتند، «جدا ازاینکه امکان دارد منبع، حاوی موارد محرمانهای چون پسوردها و توکنهای دسترسی باشد، منبع کد نشتشده اغلب برای حملات پیچیدهی آتی مورد استفاده قرار میگیرد مانند جمعآوری اطلاعات روی بخش توسعه و تحقیق و پیدا کردن آسیبپذیریهای نرمافزاری».
«موقعی که منبع کد قابلدسترس باشد پیدا کردن آسیبپذیریهای داخل نرمافزار به مراتب آسانتر خواهدشد». آنها در ادامه افزودند تنها کاری که عوامل آلودگی باید میکردند این بود که از اپ تارگت، دایرکتوری ‘/.git’ را بگیرند و منبع کدش را بازیابی کنند.
کاهش میزان تخریب
مایکروسافت تلاش کرد تا با افزودن فایل web.config به فولدر Git در دایرکتوری عمومی که دسترسی عمومیرا محدود میکرد از اثر تخریب بکاهد اما ظاهراً این اقدام صرفاً کافی نبوده است. به نقل از Wiz، «تنها وبسرور IIS مایکروسافت فایلهای web.config را مدیریت میکند اما اگر از PHP, Ruby, Python یا Node استفاده کنید ماجرا فرق میکند. این زبانهای برنامهنویسی در وبسرورهای مختلفی مستقر میشوند (مانندApache, Nginx, Flask و غیره) که فایلهای web.config را مدیریت نکرده و باعث میشود هیچ کاهشی در اثر آلودگی و تخریب متوجه آنها نشود. بنابراین آنها تماماً آسیبپذیر باقی خواهند ماند». Wiz این باگ خوشنشین را در ماه اکتبر به مایکروسافت گزارش کرد و برای این کشف پاداش 7500 دلاری دریافت کرد. مایکروسافت هم بین 7 تا 15 دسامبر این باگ را از طریق ایمیلی برای کاربران قربانی برطرف کرد.
احتمال اکسپلویت در محیط بیرون
فولدرهای Git اغلب به اشتباه با تنظیمات بد در معرض قرار میگیرند (در این سناریوی خاص منظورمان آسیبپذیریها نیستند) و در نتیجه مجرمان سایبری به دنبال آنها میگردند. محققین هشدار دادهاند که، «یک فولدر Git در معرض قرار گرفته معضل امنیتی رایجی است که کاربران بدون آنکه بدانند خود را گرفتارش میکنند».
«عاملین این اقدام مخرب دائماً با اسکن اینترنت در حال گشتن به دنبال فولدرهای Git هستند تا بدینترتیب از آنها به اطلاعات محرمانه و مالکیت فکری برسند».
محققین اضافه کردند، «ما بیصبرانه صبر کردیم تا ببینیم کسی سعی میکند به فایلهای Git برسد یا نه. ظرف چهار روز استقرار تعجب نکردیم وقتی دیدیم چندین درخواست از سوی عاملین تهدید برای فولدر Git آمده... این متود اکسپلویت بسیار ساده و رایج است و خیلی از آن استفاده میشود». کاربران زیر میبایست خطر بالقوه را ارزیابی کرده و مطمئن شوند سیستمهایشان آپدیت شده است.
- کاربرانی که کد را از طریق FTP یا Web Deploy و یا Bash/SSH به کار بردند و نتیجهاش این شد که فایلها پیش از هر استقرار git، در اپ وبی آغاز شدند.
- کاربرانی که LocalGit را روی اپ وبی فعالسازی کرده بودند.
- کاربرانی که در ادامه کلون Git را برای نشر آپدیتها میآورند.
محققین خاطرنشان کردند، از آنجایی که مشکل امنیتی در یک سرویس آژور بوده است، کاربران کلود در مقیاس بزرگ و بدون اینکه آگاهی نسبت به این اتفاق یا کنترلی روی آن داشته باشند داشته باشند، در معرض خطر قرار گرفتند.
[1] Microsoft Azure App Service
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.