【风险通告】NotLegit:Microsoft Azure泄露近4年所有源代码

admin 2022年4月10日00:20:38评论51 views字数 1601阅读5分20秒阅读模式

0x00 风险概述

2021年12月21日,Wiz 研究团队公开了在Microsoft Azure应用服务中发现的一个至少存在4年的信息泄露漏洞(称为“NotLegit”),该漏洞暴露了使用本地Git部署的用Java、Node、PHP、Python 和 Ruby 编写的客户应用程序的源代码。

 

0x01 攻击详情

【风险通告】NotLegit:Microsoft Azure泄露近4年所有源代码

Azure应用服务(又称Azure Web Apps)是一个基于云计算的平台,用于构建和托管web应用。它允许用户使用本地Git存储库,或通过GitHub和Bitbucket上托管的存储库,将源代码和工件部署到服务中。

当使用本地Git方法部署到Azure应用服务时,存在不安全的默认行为,导致Git存储库被创建在一个可公开访问的目录(home/site/wwwroot)。

最初,微软通过在公共目录中的 Git 文件夹中添加一个“web.config”文件来限制公共访问,但事实证明这是一个不完整的修复。这些配置文件只用于依赖微软IIS web服务器的C#或ASP.NET应用程序,而不适用于其他编程语言(如PHP、Ruby、Python或Node)编码的应用程序,这些应用程序被部署在不同的web服务器(如Apache、Nginx和Flask)上,而攻击者只需从目标应用程序中获取"/.git "目录,并检索其源代码,因此很容易受到攻击。

目前NotLegit漏洞已检测到在野利用。攻击者通过不断地扫描互联网,寻找暴露的Git文件夹,以从中收集敏感信息。除了源码可能包含密码和访问令牌等关键信息外,泄露的源码往往可被用于进一步的复杂攻击。因为当源代码可用时,发现软件中的漏洞要容易得多。

 

0x02 风险等级

高危。

 

0x03 影响范围

  • 自 2017 年 9 月以来在 Azure 应用服务中默认应用程序上使用“本地 Git”部署的所有 PHP、Node、Ruby 和 Python 应用程序。

  • 自2017年9月起,在应用容器中创建或修改文件后,使用任何Git源在Azure 应用服务中部署的所有PHP、Node、Ruby和Python应用程序。

注:基于 IIS 的应用程序不受NotLegit漏洞影响。

 

0x04 安全建议

目前该漏洞已经修复。Microsoft 已于2021年12 月7日开始通过电子邮件通知易受攻击的客户,建议受影响的用户及时修复该漏洞并加强安全防护。

 

0x05 参考链接

https://www.wiz.io/blog/azure-app-service-source-code-leak

https://thehackernews.com/2021/12/4-year-old-bug-in-azure-app-service.html

https://threatpost.com/microsoft-azure-zero-day-source-code/177270/

 

0x06 版本信息

版本

日期

修改内容

V1.0

2021-12-24

首次发布

 

0x07 附录


公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。


关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
注以下公众号,获取全球最新安全资讯:

【风险通告】NotLegit:Microsoft Azure泄露近4年所有源代码

 


原文始发于微信公众号(维他命安全):【风险通告】NotLegit:Microsoft Azure泄露近4年所有源代码

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月10日00:20:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】NotLegit:Microsoft Azure泄露近4年所有源代码http://cn-sec.com/archives/693506.html

发表评论

匿名网友 填写信息