微软Azure App服务漏洞存在长达4年,暴露大量用户源代码。
Azure App Service(应用服务)是微软提供的用于构建和托管Web 应用的平台。近日,Wiz.io研究人员在Azure应用服务中发现一个安全漏洞——NotLegit,该漏洞自2017年开始存在,会引发用户的PHP、Node、Python、Ruby、Java源代码泄露。
NotLegit漏洞分析
Azure支持多种方法来部署源代码到Azure应用服务,其中一种方式就是Local Git。通过Local Git,用户可以在Azure应用服务容器中初始化一个本地Git库,然后直接推送代码到服务器上。
图1 Azure应用服务中支持Git部署源码
该安全产生的根源在于你的Local Git库是公开可访问的。一般来说,在部署git库到web服务器等时,需要确保.git文件没有被上传。因为.git文件夹中包含源码、开发者邮箱和其他敏感信息。但通过Local Git 部署方式部署源码到Azure应用服务时,Git库创建的位置是/home/site/wwwroot,该目录是任何人都可以访问的一个公开目录。为了保护文件,微软在.git文件中创建了一个web.config 文件来限制对公开目录的公开访问。但只有微软IIS服务器会处理web.config文件。如果用户使用C# 或ASP.NET,并且应用部署在IIS服务器上,那就不会有任何问题。
但是如何使用的是PHP、Node、Python、Ruby、Java,这些编程语言部署在不同的web服务器上,比如Apache、Nginx、Flask,这些web服务器是不会处理web.config文件的,因此漏洞就产生了。恶意攻击者只需要从目标应用中提取/.git目录,就可以提取出源代码。
研究人员还发现微软的web.config文件中存在错误,configuration标签没有关闭,使得该文件无法被IIS服务器处理。
图2 web.config的错误
后来,微软发现使用其他Git部署根据的用户也会暴露源代码:如果Azure应用服务容器中的文件在Git部署前就被创建或修改了,那么服务就会进入“inplace deployment”状态。该状态使得之后所有的Git部署都在公开可访问目录中初始化。
漏洞影响
漏洞影响2017年9月之后Azure 应用服务默认应用中部署的所有PHP、Node、Ruby 、Python应用。
漏洞影响2017年9月之后Azure 应用服务默认应用中使用任何Git源部署的所有PHP、Node、Ruby 、Python应用。
唯一不受该漏洞影响的应用就是基于IIS服务器的应用。
漏洞在野利用
为测试该漏洞的在野利用情况,研究人员不是了一个由漏洞的Azure应用服务器应用,并链接到一个未使用的域名。在部署后的4天内,研究人员发现有多个攻击者发起了对该.git文件夹的请求。
图3 未知用户发起对.git文件夹的请求
微软已于12月7日-15日向所有受影响的用户发送了通知邮件:
图4 微软向受影响的用户发送邮件通知
完整技术细节参见:https://www.wiz.io/blog/azure-app-service-source-code-leak
【来源:嘶吼网】
对于外发给客户(第三方)的文件,可控制对方的打开时间和次数等限制!同时可设置对员工电脑文件自动备份,防止恶意删除造成企业数据的遗失!从源头防控企业数据安全!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...