微软 Azure App Service 漏洞 NotLegit已存在4年,客户源代码被暴露
编译:代码卫士
该漏洞由云安全公司 Wiz发现并在9月份告知微软。微软在11月份修复该漏洞并着手调查受影响的客户数量。
影响 Azure App Service
该漏洞被称为 “NotLegit”,存在于 Azure 云的特性 Azure App Service 中,可使客户从源代码仓库部署网站和 web 应用。
研究人员表示,如果Azure 客户选择 “Local Git” 选项从托管于同一个 Azure 服务器上的 Git 仓库中部署网站,则源代码也被暴露在网上。微软在文章中表示,通过这种方法部署的所有 PHP、Node、Ruby 和 Python 应用均受影响。仅部署在基于 Linux 的 Azure 服务器上的应用受影响,托管在 Windows Server 系统上的应用不受影响。
Wiz 公司在报告中指出,虽然源代码暴露始于2017年即漏洞出现在Azure 系统之时,但自2013年部署的应用均受影响。
漏洞很可能已遭利用
最危险的暴露场景是,被暴露的源代码中含有一个 .git 配置文件,该文件本身包含其它客户系统如数据库和API 的密码和访问令牌。
过去十年来,多个僵尸网络一直都在扫描不慎暴露 .git 文件的互联网,认为可通过这些文件中的内容访问更具价值的企业基础设施。Wiz 公司的研发总监 Shir Tamari 指出,虽然威胁者们可能并不知道NotLegit 漏洞本身,但该漏洞很可能已遭间接利用。
Tamari 表示,他们创建了一个由 Azure 托管的网站做测试,仅在4小时的时间里,就发现5个不同的威胁组织访问被暴露的源代码和 .git 配置文件。
因使用五年前的老旧代码,Azure 容器险遭黑客接管,微软已修复
Windows 365 以明文形式暴露微软 Azure 凭据
我发现了 Microsoft Azure 中的两个漏洞
微软推出 Azure Sphere 漏洞奖励计划,最高奖金10万美元
https://therecord.media/microsoft-notifies-customers-of-azure-bug-that-exposed-their-source-code/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。