查看原文
其他

微软 Azure App Service 漏洞 NotLegit已存在4年,客户源代码被暴露

Catalin Cimpanu 代码卫士 2022-06-07

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


本月初,微软通知相关 Azure 客户称,Azure 云的一个特性 Azure App Service 中存在漏洞,至少从2017年9月起就暴露 Azure web 应用的源代码。


该漏洞由云安全公司 Wiz发现并在9月份告知微软。微软在11月份修复该漏洞并着手调查受影响的客户数量。



影响 Azure App Service


该漏洞被称为 “NotLegit”,存在于 Azure 云的特性 Azure App Service 中,可使客户从源代码仓库部署网站和 web 应用。

研究人员表示,如果Azure 客户选择 “Local Git” 选项从托管于同一个 Azure 服务器上的 Git 仓库中部署网站,则源代码也被暴露在网上。微软在文章中表示,通过这种方法部署的所有 PHP、Node、Ruby 和 Python 应用均受影响。仅部署在基于 Linux 的 Azure 服务器上的应用受影响,托管在 Windows Server 系统上的应用不受影响。

Wiz 公司在报告中指出,虽然源代码暴露始于2017年即漏洞出现在Azure 系统之时,但自2013年部署的应用均受影响。



漏洞很可能已遭利用


最危险的暴露场景是,被暴露的源代码中含有一个 .git 配置文件,该文件本身包含其它客户系统如数据库和API 的密码和访问令牌。

过去十年来,多个僵尸网络一直都在扫描不慎暴露 .git 文件的互联网,认为可通过这些文件中的内容访问更具价值的企业基础设施。Wiz 公司的研发总监 Shir Tamari 指出,虽然威胁者们可能并不知道NotLegit 漏洞本身,但该漏洞很可能已遭间接利用。

Tamari 表示,他们创建了一个由 Azure 托管的网站做测试,仅在4小时的时间里,就发现5个不同的威胁组织访问被暴露的源代码和 .git 配置文件。







推荐阅读
微软在 Linux 虚拟机偷偷安装Azure App,后修复严重漏洞但Linux虚拟机难以修复
因使用五年前的老旧代码,Azure 容器险遭黑客接管,微软已修复
Windows 365 以明文形式暴露微软 Azure 凭据
我发现了 Microsoft Azure 中的两个漏洞
微软推出 Azure Sphere 漏洞奖励计划,最高奖金10万美元




原文链接

https://therecord.media/microsoft-notifies-customers-of-azure-bug-that-exposed-their-source-code/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存