Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad en Azure App Service expone repositorios Git desde hace 4 años


 Se ha descubierto un fallo de seguridad en Azure App Service de Microsoft que resultó en la exposición del código fuente de las aplicaciones de los clientes escritas en Java, Node, PHP, Python y Ruby durante al menos cuatro años desde septiembre de 2017. Microsoft soluciona error NotLegit que permitía ver el código fuente de las apps utilizando "Local Git" en Azure App Service para Linux  en App escritas PHP, Python, Ruby o Node ya que repositorio local “/.git” era visible públicamente.





La vulnerabilidad, con nombre en código » NotLegit » , fue informada al gigante de la tecnología por investigadores de Wiz el 7 de octubre de 2021, luego de lo cual se tomaron medidas para corregir el error de divulgación de información en noviembre. Microsoft dijo que un «subconjunto limitado de clientes» está en riesgo, y agregó que «los clientes que implementaron código en App Service Linux a través de Local Git después de que los archivos ya se crearon en la aplicación fueron los únicos clientes afectados».

Error presente desde hace 4 años en: Azure Web Apps - Azure App Service



El Servicio de Aplicación Azure (también conocido como Azure Web Apps) es una plataforma basada en la computación en la nube para la construcción y el alojamiento de aplicaciones web. Permite a los usuarios implementar código fuente y artefactos en el servicio mediante un repositorio de Git local o mediante repositorios alojados en GitHub y Bitbucket.



El comportamiento predeterminado inseguro ocurre cuando se usa el método Local Git para implementar en Azure App Service, lo que da como resultado un escenario en el que el repositorio Git se crea dentro de un directorio de acceso público :

/home/site/wwwroot

Si bien Microsoft agrega un archivo «web.config» a la carpeta .git , que contiene el estado y el historial del repositorio, para restringir el acceso público, los archivos de configuración solo se usan con aplicaciones C # o ASP.NET que dependen de las propias de Microsoft. Servidores web IIS, dejando fuera las aplicaciones codificadas en otros lenguajes de programación como PHP, Ruby, Python o Node que se implementan con diferentes servidores web como Apache, Nginx y Flask.

«Básicamente, todo lo que un actor malintencionado tenía que hacer era buscar el directorio ‘/.git’ de la aplicación de destino y recuperar su código fuente», dijo el investigador de Wiz, Shir Tamari. «Los actores malintencionados escanean continuamente Internet en busca de carpetas Git expuestas de las que puedan recopilar secretos y propiedad intelectual. Además de la posibilidad de que la fuente contenga secretos como contraseñas y tokens de acceso, el código fuente filtrado a menudo se usa para ataques más sofisticados».

«Encontrar vulnerabilidades en el software es mucho más fácil cuando el código fuente está disponible», agregó Tamari.


Fuente: 

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.