Lỗ hổng Azure App Service làm lộ mã nguồn của khách hàng

Một lỗ hổng bảo mật được tìm thấy trong Dịch vụ ứng dụng Azure đã gây ra sự cố nghiêm trọng. Điều này dẫn đến sự xuất hiện của mã nguồn khách hàng PHP, Node, Python, Ruby hoặc Java.

Lỗ hổng Azure App Service làm lộ mã nguồn của khách hàng

Hiện Microsoft đã khắc phục lỗ hổng này bằng cách cập nhật các hình ảnh PHP để không cho phép một số hành động nhất định. Điều đáng lo ngại hơn cả là điều này đã diễn ra trong ít nhất bốn năm, kể từ năm 2017.

Azure App Service (hay còn gọi là Azure Web Apps) là một nền tảng dựa trên điện toán đám mây để xây dựng và lưu trữ các ứng dụng web. Nó cho phép người dùng triển khai mã nguồn và tạo tác cho dịch vụ bằng cách sử dụng kho lưu trữ Git cục bộ hoặc thông qua các kho lưu trữ trên GitHub và Bitbucket.

Chuyên gia cảnh báo Microsoft về lỗ hổng nguy hiểm

Lỗ hổng có tên mã “NotLegit” đã được các nhà nghiên cứu Wiz báo cáo cho Microsoft vào tháng 10 năm 2021, sau đó các biện pháp giảm nhẹ đã được thực hiện để sửa lỗi tiết lộ thông tin vào tháng 11.

>> Xem thêm: Tầm nhìn Samsung 2022 sẽ xuất xưởng 4 triệu tấm nền OLED

Microsoft đã xác nhận thông tin này và nhóm Azure App Service cùng với MSRC đã áp dụng một bản sửa lỗi được thiết kế để bảo vệ hầu hết các khách hàng bị ảnh hưởng và thông báo cho tất cả khách hàng vẫn tiếp xúc sau khi cho phép triển khai tại chỗ hoặc tải thư mục .git lên thư mục nội dung.

Hiện Microsoft đã giảm thiểu lỗ hổng này bằng cách cập nhật hình ảnh PHP để không cho phép cung cấp thư mục .git dưới dạng nội dung tĩnh.