Azure应用服务发现“NotLegit”漏洞!这4种编程语言的“本地Git”部署源代码可能会被暴露这意味着用PHP、Python、Ruby或Node语言编写的“本地Git”部署应用程序的源代码可能会被暴露。据悉,“NotLegit”漏洞自2017年9月以来一直存在,目前或已经被攻击者利用。据了解,Wiz早在2021年10月7日就向微软报告了这一安全漏洞,目前已经得到缓解。但是,小型企业客户可能仍存在潜在的暴露风险。还提醒他们采取某些措施来保护他们的应用程序。详情请查看微软于2021年12月7-15日发布的邮件通知。“NotLegit”漏洞:本地Git存储库是可公开访问的Wiz警告称,在将Git存储库部署到Web服务器和存储桶时,确保.git文件夹未被上传非常重要。这是因为.git文件夹包含源代码、开发人员的电子邮件和其他敏感数据。通过“本地Git”部署到Azure应用服务时,Git存储库创建在任何人都可以访问的可公开访问的目录(/home/site/wwwroot)中(Wiz说这是众所周知的Microsoft“怪癖”)。为了保护用户的个人文件,微软将“web.config”文件添加到.ASP.NET应用程序,这种缓解措施同样有效)。问题来了,由于PHP、Ruby、Python或Node等编程语言部署了不同的Web服务器(Apache、Nginx、Flask等),而这些服务器并不处理“web.config”文件,上述缓解措施是无效的,正因为如此,使用这些编程语言的应用程序非常容易受到“NotLegit”漏洞攻击。基本上,“NotLegit”利用——恶意攻击者所要做的就是从目标应用程序中获取“/.git”目录,并检索其源代码。有趣的是,MicrosoftWeb配置文件由于拼写错误(配置标志未正确关闭)而“幸免于难”,这导致IIS无法解析该文件。同时,微软还发现使用其他Git部署工具的用户也可能暴露:如果在任何Git部署之前在AzureAppService容器中创建或修改任何文件(使用FTP、WebDeploy或SSH),该服务将进入“只在本地部署”状态,这会强制任何未来的Git部署从可公开访问的目录开始。“NotLegit”漏洞:影响范围自2017年9月起,AzureAppService中使用“LocalGit”部署的所有PHP、Node、Ruby和Python应用程序都可能受到此“NotLegit”漏洞的影响。唯一不受此安全漏洞影响的应用程序是基于IIS的应用程序。众所周知,Git文件夹是一个常见的安全问题,但许多用户根本没有意识到这一点。恶意行为者不断扫描互联网以寻找暴露的Git文件夹,他们可以从中收集秘密和知识产权。除了源代码可能包含密码和访问令牌等秘密外,泄露的源代码通常被用于进一步复杂的攻击,例如收集科技巨头研发部门的信息,了解内部基础设施,以及查找软件漏洞。通过用户错误意外暴露Git文件夹是一个安全问题,甚至会影响大型国际事件。“NotLegitVulnerability”的突出之处在于,云用户是无辜的:他们并没有错误地暴露自己的Git文件夹——Azure服务,而是因为Azure服务发生了安全问题,导致云用户被暴露在一个大范围内。规模,但这是他们不知道也无法控制的事情。对于这起事件,推特上的许多开发者和用户都鼓励所有受影响的用户向微软报告“NotLegit漏洞”。在了解到这个问题的严重性后,微软也及时采取了措施来调查和缓解这个问题。在过去的12月7日至15日期间,微软向所有受影响的用户发送了不同的通知。同时,微软还悬赏7500美元给发现问题的Wiz团队。关于AzureAppServiceAzureAppService(也称为AzureWeb应用程序)是一个基于云的平台,用于托管网站和Web应用程序。该服务因其易于使用而非常受欢迎:1.选择支持的编程语言和操作系统。2.使用FTP、SSH或从Git服务(例如GitHub或专用Git存储库)拉取源代码,在Azure托管服务器上部署应用程序源代码或工件。3.部署后,互联网上的任何人都可以访问*.azurewebsites.net域下的应用程序。关于“本地Git”:Azure可以通过多种方式将源代码和工件部署到AzureAppService,其中之一就是“本地Git”。使用“本地Git”,用户可以在Azure应用服务容器中启动本地Git存储库,从而允许他们将代码直接推送到服务器。
