NotLegit：微软Azure App服务漏洞暴露用户源代码

2024-10-31

微软Azure App服务漏洞存在长达4年，暴露大量用户源代码。

Azure App Service（应用服务）是微软提供的用于构建和托管Web 应用的平台。近日，Wiz.io研究人员在Azure应用服务中发现一个安全漏洞——NotLegit，该漏洞自2017年开始存在，会引发用户的PHP、Node、Python、Ruby、Java源代码泄露。

NotLegit漏洞分析

Azure支持多种方法来部署源代码到Azure应用服务，其中一种方式就是Local Git。通过Local Git，用户可以在Azure应用服务容器中初始化一个本地Git库，然后直接推送代码到服务器上。

图1 Azure应用服务中支持Git部署源码

该安全产生的根源在于你的Local Git库是公开可访问的。一般来说，在部署git库到web服务器等时，需要确保.git文件没有被上传。因为.git文件夹中包含源码、开发者邮箱和其他敏感信息。但通过Local Git 部署方式部署源码到Azure应用服务时，Git库创建的位置是/home/site/wwwroot，该目录是任何人都可以访问的一个公开目录。为了保护文件，微软在.git文件中创建了一个web.config 文件来限制对公开目录的公开访问。但只有微软IIS服务器会处理web.config文件。如果用户使用C# 或ASP.NET，并且应用部署在IIS服务器上，那就不会有任何问题。

但是如何使用的是PHP、Node、Python、Ruby、Java，这些编程语言部署在不同的web服务器上，比如Apache、Nginx、Flask，这些web服务器是不会处理web.config文件的，因此漏洞就产生了。恶意攻击者只需要从目标应用中提取/.git目录，就可以提取出源代码。

研究人员还发现微软的web.config文件中存在错误，configuration标签没有关闭，使得该文件无法被IIS服务器处理。

图2 web.config的错误

后来，微软发现使用其他Git部署根据的用户也会暴露源代码：如果Azure应用服务容器中的文件在Git部署前就被创建或修改了，那么服务就会进入“inplace deployment”状态。该状态使得之后所有的Git部署都在公开可访问目录中初始化。

漏洞影响

漏洞影响2017年9月之后Azure 应用服务默认应用中部署的所有PHP、Node、Ruby 、Python应用。

漏洞影响2017年9月之后Azure 应用服务默认应用中使用任何Git源部署的所有PHP、Node、Ruby 、Python应用。

唯一不受该漏洞影响的应用就是基于IIS服务器的应用。

漏洞在野利用

为测试该漏洞的在野利用情况，研究人员不是了一个由漏洞的Azure应用服务器应用，并链接到一个未使用的域名。在部署后的4天内，研究人员发现有多个攻击者发起了对该.git文件夹的请求。

图3 未知用户发起对.git文件夹的请求

微软已于12月7日-15日向所有受影响的用户发送了通知邮件：

图4 微软向受影响的用户发送邮件通知

完整技术细节参见：https://www.wiz.io/blog/azure-app-service-source-code-leak
【来源：嘶吼网】

编辑推荐

安企神软件系统文件加密软件–-文档加密保护专家！防员工离职拷贝数据泄密、防黑客攻击数据泄密，防第三方外发文件泄密！私下将设计图纸、开发代码、财务信息、客户资料等重要的电子文档在完全不改变用户的习惯下进行自动加密，即使这些文档被非法带离企业也无法解密和应用

对于外发给客户（第三方）的文件，可控制对方的打开时间和次数等限制！同时可设置对员工电脑文件自动备份，防止恶意删除造成企业数据的遗失！从源头防控企业数据安全！

TAG：

上一篇 : 拷贝文件泄密 | 高管离职拷走前公司数据资料被判刑

下一篇 : 密码学世界里的一个例外：加密后门

文章标签

文档加密软件

文档信息安全管理软件

上网行为管理软件

应用程序管控软件

敏感文件管理软件

U盘设备管控软件

文件分发软件

IT资产管理软件

电脑操作记录软件

远程控制软件

聊天管控软件

敏感信息报警

屏幕管控

内网管理

深度行为分析

电脑屏幕录像

实时管控

补丁管理

网络准入控制管理系统