0x00 风险概述
2021年12月21日,Wiz 研究团队公开了在Microsoft Azure应用服务中发现的一个至少存在4年的信息泄露漏洞(称为“NotLegit”),该漏洞暴露了使用本地Git部署的用Java、Node、PHP、Python 和 Ruby 编写的客户应用程序的源代码。
0x01 攻击详情
Azure应用服务(又称Azure Web Apps)是一个基于云计算的平台,用于构建和托管web应用。它允许用户使用本地Git存储库,或通过GitHub和Bitbucket上托管的存储库,将源代码和工件部署到服务中。
当使用本地Git方法部署到Azure应用服务时,存在不安全的默认行为,导致Git存储库被创建在一个可公开访问的目录(home/site/wwwroot)。
最初,微软通过在公共目录中的 Git 文件夹中添加一个“web.config”文件来限制公共访问,但事实证明这是一个不完整的修复。这些配置文件只用于依赖微软IIS web服务器的C#或ASP.NET应用程序,而不适用于其他编程语言(如PHP、Ruby、Python或Node)编码的应用程序,这些应用程序被部署在不同的web服务器(如Apache、Nginx和Flask)上,而攻击者只需从目标应用程序中获取"/.git "目录,并检索其源代码,因此很容易受到攻击。
目前NotLegit漏洞已检测到在野利用。攻击者通过不断地扫描互联网,寻找暴露的Git文件夹,以从中收集敏感信息。除了源码可能包含密码和访问令牌等关键信息外,泄露的源码往往可被用于进一步的复杂攻击。因为当源代码可用时,发现软件中的漏洞要容易得多。
0x02 风险等级
高危。
0x03 影响范围
注:基于 IIS 的应用程序不受NotLegit漏洞影响。
0x04 安全建议
目前该漏洞已经修复。Microsoft 已于2021年12 月7日开始通过电子邮件通知易受攻击的客户,建议受影响的用户及时修复该漏洞并加强安全防护。
0x05 参考链接
https://www.wiz.io/blog/azure-app-service-source-code-leak
https://thehackernews.com/2021/12/4-year-old-bug-in-azure-app-service.html
https://threatpost.com/microsoft-azure-zero-day-source-code/177270/
0x06 版本信息
版本 | 日期 | 修改内容 |
V1.0 | 2021-12-24 | 首次发布 |
0x07 附录
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
