0x00 风险概述
2021年12月21日,Wiz 研究团队公开了在Microsoft Azure应用服务中发现的一个至少存在4年的信息泄露漏洞(称为“NotLegit”),该漏洞暴露了使用本地Git部署的用Java、Node、PHP、Python 和 Ruby 编写的客户应用程序的源代码。
0x01 攻击详情
Azure应用服务(又称Azure Web Apps)是一个基于云计算的平台,用于构建和托管web应用。它允许用户使用本地Git存储库,或通过GitHub和Bitbucket上托管的存储库,将源代码和工件部署到服务中。
当使用本地Git方法部署到Azure应用服务时,存在不安全的默认行为,导致Git存储库被创建在一个可公开访问的目录(home/site/wwwroot)。
最初,微软通过在公共目录中的 Git 文件夹中添加一个“web.config”文件来限制公共访问,但事实证明这是一个不完整的修复。这些配置文件只用于依赖微软IIS web服务器的C#或ASP.NET应用程序,而不适用于其他编程语言(如PHP、Ruby、Python或Node)编码的应用程序,这些应用程序被部署在不同的web服务器(如Apache、Nginx和Flask)上,而攻击者只需从目标应用程序中获取"/.git "目录,并检索其源代码,因此很容易受到攻击。
目前NotLegit漏洞已检测到在野利用。攻击者通过不断地扫描互联网,寻找暴露的Git文件夹,以从中收集敏感信息。除了源码可能包含密码和访问令牌等关键信息外,泄露的源码往往可被用于进一步的复杂攻击。因为当源代码可用时,发现软件中的漏洞要容易得多。
0x02 风险等级
高危。
0x03 影响范围
-
自 2017 年 9 月以来在 Azure 应用服务中默认应用程序上使用“本地 Git”部署的所有 PHP、Node、Ruby 和 Python 应用程序。
-
自2017年9月起,在应用容器中创建或修改文件后,使用任何Git源在Azure 应用服务中部署的所有PHP、Node、Ruby和Python应用程序。
注:基于 IIS 的应用程序不受NotLegit漏洞影响。
0x04 安全建议
目前该漏洞已经修复。Microsoft 已于2021年12 月7日开始通过电子邮件通知易受攻击的客户,建议受影响的用户及时修复该漏洞并加强安全防护。
0x05 参考链接
https://www.wiz.io/blog/azure-app-service-source-code-leak
https://thehackernews.com/2021/12/4-year-old-bug-in-azure-app-service.html
https://threatpost.com/microsoft-azure-zero-day-source-code/177270/
0x06 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2021-12-24 |
首次发布 |
0x07 附录
原文始发于微信公众号(维他命安全):【风险通告】NotLegit:Microsoft Azure泄露近4年所有源代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论