마이크로소프트(Microsoft)의 애저(Azure)는 2010년 시작된 클라우드 컴퓨팅 플랫폼이다. 선택한 도구와 프레임워크를 사용하여 여러 클라우드, 온-프레미스 및 에지에서 애플리케이션을 빌드, 실행, 관리할 수 있어 많은 사랑을 받고 있다.
하지만 Wiz 연구원들은 "로컬 Git"을 사용하여 배포된 PHP, Python, Ruby 및 Node로 작성된 고객 애플리케이션의 소스 코드를 노출 하는 애저 앱 서비스(Azure App Service)에서 안전하지 않은 기본 동작을 감지했다고 밝혔다.
클라우드 기반 사이버 자산 관리 플랫폼인 주피터 원(JupiterOne)의 현장 보안 이사인 자스민 헨리(Jasmine Henry)는 유출된 소스 코드는 조직을 위협 행위자에게 매우 취약한 위치에 놓이게 하여 수년간의 지적 재산을 즉시 훔치거나 소스 코드의 고유한 약점에 맞게 조정된 익스플로잇을 신속하게 실행할 수 있다”라고 말했다.
또한 헨리는 "NotLegit 취약점은 개발자 오류가 없는 경우에도 권한 있는 계정 및 서비스로 인해 증가하는 보안 위험을 강조하기 때문에 특히 눈을 뜨게 한다"라고 말했다.
AI 사이버 보안 -위협 탐지 및 대응 플랫폼 벡트라(Vectra)의 수석 기술자인 올리버 타바크올리(Oliver Tavakoli)는 이 취약점의 영향이 매우 다양할 것이라고 말했다. 그는 "애플리케이션의 기본 소스 코드(및 동일한 디렉토리에 남아 있을 수 있는 다른 파일)에 액세스하면 위협 행위자가 다른 공격에 활용할 수 있는 정보를 제공할 수 있다"고 말했다.
그는 "연구원들이 허니팟에 해당하는 것을 설정하고 야생에서 취약점이 악용되는 것을 봤다는 사실은 취약점이 잘 지켜진 비밀이 아니라는 것을 의미하므로 특히 우려된다"라고 말했다.
한편, Wiz 연구원들은 이 보안 결함을 마이크로소프트에 보고했으며, 이후 마이크로소프트는 소스 코드 보안에 대한 추가 섹션으로 보안 권장 사항 문서를 업데이트했다. 또한 내부 배포에 대한 설명서도 업데이트했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
