欢迎光临
我们一直在努力

长达四年才修复,微软 Azure 漏洞可导致用户源代码泄露


就如昨天的推文所说,Log4Shell的漏洞影响巨大,但其他的漏洞不会因为这个漏洞存在就选择隐身。前两天,安全研究团队 Wiz 报告称在微软 Azure 应用服务中检测到一个漏洞“NotLegit” ,影响通过“本地 Git”部署的PHP、Python、Ruby 或 Node 应用,导致相关用户的源代码泄露。这个漏洞在 2017 年 9 月就出现了,至今已经存在 4 年之久,直到近期才被微软修复。

众所周知,Azure 的知名度和应用广泛程度不亚于 Log4j。作为一个能托管网站和 Web 应用的平台,Azure 易于部署,易于使用,且部署成功后,通过.azurewebsites.net 域可不受身份限制直接访问相关程序。漏洞就是出现在部署过程中。

一般来说,.git文件夹中包含源码、开发者邮箱和其他敏感信息,在部署git库到web服务器等时,需要确保不上传.git文件。但是在通过Local Git 部署方式部署源码到Azure应用服务时,.git文件会上传到公开的目录 /home/site/wwwroot中。所以微软在.git文件中创建了一个web.config 文件来限制对公开目录的访问,以保护.git文件夹的安全。


但是,只有微软IIS服务器会处理web.config文件,Apache、Nginx、Flask 等其他 Web 服务器则无法处理“web.config”文件,所以攻击者如果从部署在Apache、Nginx、Flask等服务器的应用程序(如PHP、Node、Ruby 和 Python 等)中获取 \’/.git\’ 目录,并检索其源代码,就能检索应用等源代码。源代码泄露后,内部的密码、访问token、内部机密都可能被泄露,内部软件的一些bug也更容易暴露。同时,Wiz 还发现,微软的 web.config 文件存在错误,使配置标记未正确关闭,导致 IIS 无法解析这个文件。

Wiz 表示,他们测试发现这个漏洞已经有在野利用案例了。

漏洞影响范围:

  • 自 2017 年 9 月以来,在 Azure 应用服务中使用“本地 Git”部署的所有 PHP、Node、Ruby 和 Python 应用;

  • 从 2017 年 9 月起,在应用容器中创建或修改文件后,使用 Git 源代码部署在 Azure 应用服务中的所有 PHP、Node、Ruby 和 Python 应用。

Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞,微软在12月份出向Azure用户通报并修复漏洞。不过,还没及时自查、更新的用户或存在下列情况的用户,依旧可能受到影响:

  • 通过 FTP 或 Web Deploy 或 Bash/SSH 部署代码,导致文件在 git 部署之前就已经在 Web 应用程序中初始化;

  • 在 Web 应用程序上启用 LocalGit ;

  • 在发布更新后还继续克隆或者推送 Git


更多技术细节和修复措施可在Wiz的分析文章及微软Azure官网查看。

*https://threatpost.com/microsoft-azure-zero-day-source-code/177270/

*https://www.wiz.io/blog/azure-app-service-source-code-leak

*https://github.com/projectkudu/kudu/wiki/Deploying-inplace-and-without-repository


我 是 极 客  

腾讯视频
爱奇艺
小米视频
Bilibili(纯享版)

  点击观看

我是极客

赞(0) 打赏
未经允许不得转载:黑客技术网 » 长达四年才修复,微软 Azure 漏洞可导致用户源代码泄露
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏