Microsoft警告Azure漏洞暴露客戶源代碼

微軟本月早些時候通知了一組受最近發現的NotLegit漏洞影響的Azure客戶，該漏洞至少自2017年9月以來就暴露了他們的Azure Web應用程序的源代碼。

該漏洞由云安全公司Wiz發現，并于9月向微軟報告。該問題已于11月修復，微軟在過去幾周內一直在調查有多少客戶受到影響。

漏洞影響Azure網站托管功能

這個綽號為NotLegit的問題存在于Azure應用服務中，這是Azure云的一項功能，允許客戶從源代碼存儲庫部署網站和Web應用程序。

Wiz研究人員表示，如果Azure客戶選擇“本地 Git”選項從托管在同一Azure服務器上的Git存儲庫部署他們的網站，源代碼也會在線公開。

微軟今天在一篇博客文章中表示，通過這種方法部署的所有PHP、Node、Ruby 和 Python應用程序都受到了影響 。只有部署在基于Linux的Azure服務器上的應用程序受到影響，而不是那些托管在Windows Server系統上的應用程序。

Wiz團隊在今天的一份報告中表示，早在2013年部署的應用程序就受到了影響，盡管暴露始于2017年9月，當時該漏洞被引入Azure的系統中 。

漏洞最有可能被利用

最危險的暴露場景是暴露的源代碼包含一個.git配置文件的情況，該文件本身包含其他客戶系統（例如數據庫和 API）的密碼和訪問令牌。

在過去的十年中，有多個僵尸網絡不斷掃描互聯網以查找意外暴露的.git文件，他們知道它們的內容可以讓威脅行為者獲得對更有價值的企業基礎設施的訪問權限。雖然威脅行為者可能不知道NotLegit漏洞本身，但Wiz的研究主管Shir Tamari透露，他認為該漏洞很可能被間接利用。

在今天的一次采訪中，Tamari說他們為他們的測試創建了一個不安全的Azure托管網站，在四個小時的過程中，他們觀察到五個不同的威脅行為者訪問暴露的源代碼和.git配置文件。

在引起注意后，微軟采取了以下步驟：

• 我們更新了所有 PHP 圖像以禁止將 .git 文件夾作為靜態內容作為縱深防御措施。
• 通知因激活就地部署而受到影響的客戶，并提供有關如何緩解問題的具體指導。我們還通知了將 .git 文件夾上傳到內容目錄的客戶。
• 更新了我們的安全建議文檔，增加了有關保護源代碼的部分。我們還更新了就地部署的文檔。

技術細節：

某些 Web 應用程序被編碼為將內容文件夾中的所有文件作為靜態內容提供服務。如果 .git 文件夾（包含源代碼控制存儲庫的狀態和歷史記錄）也在這些應用程序的內容文件夾中，那么其他人就可以通過對 Web 應用程序的請求下載文件。

.git文件夾可以在內容文件夾中的情況是：

• 在Git外部的內容根目錄中創建或修改文件后， 通過本地Git部署的應用程序代碼。
• 通過SCM_REPOSITORY_PATH啟用就地部署的顯式配置。這是高級用戶操作。
• 當 .git文件夾在非GIT部署到應用服務期間包含在應用程序代碼中時。

內容文件夾中的.git文件夾與提供靜態內容的應用程序的組合使應用程序容易暴露源代碼。

綜合參考：

微軟博文：

https://msrc-blog.microsoft.com/2021/12/22/azure-app-service-linux-source-repository-exposure

WIZ博文：

https://www.wiz.io/blog/azure-app-service-source-code-leak