微软存在四年之久的Azure零日漏洞泄露了使用Git在本地部署的Web应用程序源代码的Web应用程序源代码。根据Wiz的分析,几乎可以肯定该漏洞已作为零日漏洞在野外被利用。该公司称这个漏洞为“NotLegit”,并表示它自2017年9月以来就存在了。AzureAppService(也称为AzureWebApps)是一个基于云的平台,主要用于托管网站和Web应用程序。同时,本地Git允许开发者在Azure应用服务容器中启动一个本地Git仓库,这样代码就可以直接部署到服务器上。部署后,Internet上的任何人都可以访问*.azurewebsites.net域名下的应用程序。之所以会出现这个漏洞,是因为在使用本地Git时,在未打补丁的系统上,Git文件夹也会被上传并公开访问;它被放置在“/home/site/wwwroot”目录中,任何人都可以访问。据该公司称,从安全角度来看,这是一个严重的问题。研究人员在本周的一篇文章中指出:“除了源代码可能包含密码和访问令牌等信息之外,泄露的源代码通常用于进一步复杂的攻击,例如为研发部门收集情报。”研究内部基础架构,并查找软件错误。当源代码可用时,查找软件错误要容易得多。”他们补充说,基本上,恶意攻击者所要做的就是从目标应用程序中获取“/.git”目录并检索其中的源代码。最初公布的缓解这个漏洞的方法是在public目录的Git文件夹中添加一个“web.config”文件,限制公共访问。但事实证明,这个修复并不是一个很好的方法。只有微软的IISweb服务器将处理web.config文件,但是[如果]你使用PHP、Ruby、Python或Node...这些编程语言将部署在不同的网络服务器(Apache、Nginx、Flask等)上,它们不要处理web.config文件,这会使缓解措施对它们无效,从而使它们容易受到攻击。Wiz在10月份向微软报告了这个长期存在的漏洞,并因此获得了7,500美元的奖金;这家巨人在12月7日至15日期间通过电子邮件向受影响的用户发送了电子邮件。部署了修复程序。可能已在野外被利用研究人员警告说,由于工作人员配置错误(不仅仅是错误,如本例),Git文件夹经常暴露在网络上。因此,网络犯罪分子正在积极寻找他们。“Git文件夹的暴露是一种常见的安全漏洞,用户甚至没有意识到这一点,”他们说。恶意行为者不断扫描互联网以寻找暴露的Git文件夹,他们可以从中收集组织机密和其他信息。”Wiz部署了一个易受攻击的Azure服务应用程序并将其链接到一个未使用的域,以查看是否有任何攻击者可以利用它。“我们已经一直在耐心地等待,看看是否有人会尝试访问Git文件,”他们说。在部署后的四天内,我们并不感到惊讶地看到来自未知攻击者的对Git文件夹的多次请求....,这种使用方法是非常容易和普遍,现在正被大量犯罪分子利用。”根据Wiz的说法,以下用户应及时评估潜在风险,保护和更新他们的系统。1.用户通过FTP或WebDeploy或Bash/SSH部署代码,这会导致任何web应用程序中的文件在任何git部署将被初始化之前被破坏。2.在Web应用程序中启用了LocalGit的用户。3.使用Git克隆/推送序列发布更新的用户。研究人员指出:“自从Azure服务出现安全问题后,大量云用户受到影响,他们不知道也没有任何保护措施。本文译自:https://threatpost.com/microsoft-azure-zero-day-source-code/177270/转载请注明出处。
