微软通知客户:Azure 的 bug 泄露了他们的源代码

2022-03-18 18:24:25 浏览数 (1)

本月早些时候微软通知了一批受最近发现的bug影响的Azure客户,该漏洞至少自2017年9月以来就泄露了他们的Azure Web应用程序的源代码。

该漏洞是由云安全公司Wiz发现的,早在9月就报告给了微软。这个问题已在11月得到了修复,微软在过去几周内一直在调查到底有多少客户受到了影响。

漏洞影响Azure网站托管功能

这个名为NotLegit的问题存在于Azure App Service中,这是Azure云的一项功能,让客户可以从源代码存储库部署网站和Web应用程序。

Wiz的研究人员表示,如果Azure客户选择了“Local Git”选项,从托管在同一台Azure服务器上的Git存储库部署他们的网站,源代码也会在网上泄露。

微软在今天的一篇博文中表示,通过这种方法部署的所有PHP、Node、Ruby、Python和Java应用程序者受到了影响。只有部署在基于Linux的Azure服务器上的应用程序受到了影响,但托管在Windows Server系统上的那些基于IIS的应用程序没受到影响。

Wiz的团队在今天的报告中表示,早在2013年部署的应用程序受到了影响,不过源代码是从2017年9月开始泄露的,该漏洞正是在那个时候被引入到了Azure的系统中。

漏洞极有可能已被利用

最危险的泄露场景是这种情形:泄露的源代码包含一个.git配置文件,该文件本身含有其他客户系统(比如数据库和API)的密码和访问令牌。

在过去的这十年,有多个僵尸网络一直在不断扫描互联网以查找无意中泄露的.git文件,知道这些文件的内容让威胁分子可以获得访问权,进而访问更有价值的企业基础设施。

虽然威胁分子可能不知道NotLegit漏洞本身,但Wiz的研究主管Shir Tamari告诉安全外媒,他认为这个漏洞很可能已被间接利用了。

Tamari在今天的一次采访中表示,他们搭建了一个不安全的Azure托管网站用于测试。在四个小时的过程中,他们观察到五个不同的威胁分子先后访问了泄露的源代码和.git配置文件。

企图访问泄露的源代码的活动

微软修补这个漏洞的方法是,更新PHP镜像,禁止将.git文件夹作为静态内容来提供。

Azure App Service说明文档也作了更新,所附的新部分介绍了如何适当保护应用程序的源代码和就地部署。

参考链接:https://msrc-blog.microsoft.com/2021/12/22/azure-app-service-linux-source-repository-exposure/

0 人点赞