التخطي إلى المحتوى الرئيسي

تقوم Microsoft بإبلاغ العملاء بوجود خطأ في Azure "NotLegit"


اكتشفت شركة الأمان السحابية Wiz الخطأ مرة أخرى في أكتوبر.


أصدر مركز الاستجابة الأمنية لـ Microsoft منشور مدونة يشرح استجابته لخلل "NotLegit" في Azure الذي تم اكتشافه بواسطة شركة الأمان السحابية Wiz.

قال Wiz إن جميع تطبيقات PHP و Node و Ruby و Python التي تم نشرها باستخدام "Local Git" في تطبيق افتراضي نظيف في Azure App Service منذ سبتمبر 2017 قد تأثرت. أضافوا أن جميع تطبيقات PHP و Node و Ruby و Python التي تم نشرها في Azure App Service من سبتمبر 2017 فصاعدًا باستخدام أي مصدر Git - بعد إنشاء ملف أو تعديله في حاوية التطبيق - قد تأثرت أيضًا.

أوضحت Microsoft في ردها أن المشكلة تؤثر على عملاء App Service Linux الذين نشروا التطبيقات باستخدام Local Git بعد إنشاء الملفات أو تعديلها في دليل جذر المحتوى. أوضحوا أن هذا يحدث "لأن النظام يحاول الحفاظ على الملفات التي تم نشرها حاليًا كجزء من محتويات المستودع ، وينشط ما يشار إليه بعمليات النشر الموضعية بواسطة محرك النشر (Kudu)."

"تم تكوين الصور المستخدمة في وقت تشغيل PHP لخدمة كل المحتوى الثابت في المجلد الجذر للمحتوى. وبعد لفت انتباهنا إلى هذه المشكلة ، قمنا بتحديث جميع صور PHP لعدم السماح بتقديم مجلد .git كمحتوى ثابت كدفاع في العمق. أوضحت مايكروسوفت.

وأشاروا إلى أنه لم يتأثر جميع مستخدمي Local Git بالثغرة الأمنية وأن نظام Azure App Service Windows لم يتأثر.

أخطرت Microsoft العملاء المتأثرين بالمشكلة ، بما في ذلك أولئك الذين تأثروا بسبب تنشيط النشر في المكان وأولئك الذين لديهم مجلد .git تم تحميله إلى دليل المحتوى. قامت الشركة أيضًا بتحديث وثيقة توصيات الأمان الخاصة بها مع قسم إضافي حول تأمين كود المصدر. كما قامت بتحديث وثائق عمليات النشر في الموقع.

قال فريق Wiz Research يوم الثلاثاء إنه أخطر Microsoft أولاً بالمشكلة في 7 أكتوبر وعمل مع الشركة خلال الشهر لمعالجتها. تم نشر الإصلاح في نوفمبر ، وتم إخطار العملاء بحلول ديسمبر. حصل Wiz على مكافأة خطأ قدرها 7500 دولار.

لم تذكر Microsoft ما إذا كانت الثغرة الأمنية قد تم استغلالها ، لكن Wiz قال إن "NotLegit" "سهل للغاية وشائع ويتم استغلاله بشكل نشط."

"لتقييم فرصة التعرض للمشكلة التي وجدناها ، نشرنا تطبيق Azure App Service الضعيف ، وربطناه بمجال غير مستخدم ، وانتظرنا بصبر لمعرفة ما إذا كان أي شخص يحاول الوصول إلى ملفات .git. في غضون 4 أيام من النشر ، وأوضح الباحثون "لم نتفاجأ برؤية طلبات متعددة للمجلد .git من جهات غير معروفة".

"لا يزال من المحتمل أن تتعرض مجموعات صغيرة من العملاء للخطر ويجب أن تتخذ إجراءات معينة للمستخدم لحماية تطبيقاتهم ، كما هو مفصل في العديد من تنبيهات البريد الإلكتروني التي أصدرتها Microsoft في الفترة من 7 إلى 15 ديسمبر 2021."

لاحظ فريق Wiz Research أن الكشف عن مجلد Git عن طريق الخطأ من خلال المستخدم يعد مشكلة أمنية أثرت على مؤسسات مثل الأمم المتحدة وعدد من مواقع الحكومة الهندية .

قال أوليفر تافاكولي ، مدير التكنولوجيا في فيكترا ، إن تأثير الثغرة الأمنية سيكون متغيرًا بدرجة كبيرة. قال تافاكولي إن الوصول إلى كود المصدر الأساسي لتطبيق ما (وربما ملفات أخرى ربما تُركت في نفس الدليل) قد يوفر معلومات يمكن الاستفادة منها في هجمات أخرى.

وأوضح تافاكولي أن "حقيقة أن الباحثين أقاموا ما يرقى إلى مستوى موضع جذب ورأوا أن الضعف يتم استغلاله في البرية أمر مثير للقلق بشكل خاص ، لأنه يعني أن الثغرة لم تكن سرًا محفوظًا بشكل جيد".

قالت ياسمين هنري ، مديرة الأمن الميداني في كوكب المشتري ، لـ Mulkhas إن شفرة المصدر المسربة تضع المنظمة في وضع ضعيف بشكل لا يصدق أمام الجهات الفاعلة المهددة ، والتي يمكنها على الفور سرقة الملكية الفكرية أو إطلاق استغلال مصمم خصيصًا لنقاط الضعف الفريدة في شفرة المصدر.

قال هنري: "إن ثغرة NotLegit تثير الانتباه بشكل خاص ، لأنها تسلط الضوء على المخاطر الأمنية المتزايدة التي تسببها الحسابات والخدمات المميزة ، حتى في حالة عدم وجود خطأ من المطور".

المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق...

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو...

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا...