Azure 應用服務發(fā)現(xiàn)“NotLegit”漏洞！

來源：百家號

作者：中國青年網(wǎng)

時間：2021-12-27

近日，Wiz 研究團隊在 Azure 應用程序服務中檢測到一個不安全的默認行為——“NotLegit”漏洞。這意味著，使用 PHP、Python、Ruby 或 Node 語言編寫的“本地 Git”部署應用程序的源代碼或該遭暴露。據(jù)悉，“NotLegit”漏洞自 2017 年 9 月以來就存在，目前或已經(jīng)被攻擊者利用。

據(jù)了解，Wiz 早在 2021 年 10 月 7 日就向微軟方面報告了這一安全漏洞，目前已得到緩解。但對小型企業(yè)客戶來說或仍有潛在暴露風險，這里也提醒他們應采取某些行動，來保護他們的應用程序，詳細可查看微軟于 2021 年 12 月 7日- 15 日發(fā)布的電子郵件通知。

“NotLegit”漏洞：

本地 Git 存儲庫可公開訪問

Wiz 方面提醒稱，將 Git 存儲庫部署到 Web 服務器和 storage buckets 時，千萬要確保 .git 文件夾是未上載的。這是因為 .git 文件夾包含源代碼、開發(fā)人員的電子郵件等其他敏感數(shù)據(jù)。

而通過“本地 Git”的方式部署到 Azure 應用程序服務時，Git 存儲庫是在任何人都可以訪問的公共可訪問目錄（/home/site/wwwroot）中創(chuàng)建的（Wiz 稱這是微軟眾所周知的“怪癖”）。為了保護用戶個人文件，微軟將“web.config”文件添加到限制公用訪問的 .git 文件夾公用目錄里，但僅 Microsoft IIS web 服務器可以處理“web.config”文件（如果使用 IIS 部署的 C# 或 ASP.NET 應用程序，這種緩解措施也同樣有效）。

問題來了，由于 PHP、Ruby、Python 或 Node 這些編程語言是與不同的 web 服務器（Apache、Nginx、Flask 等）一起部署的，而這些服務器又不處理“web.config”文件，所以上面的緩解措施是無效，也正因為如此，使用這些編程語言的應用就非常容易受到“NotLegit”漏洞攻擊。

基本上，“NotLegit”漏洞——惡意攻擊者所要做的就是從目標應用程序獲取“/.git”目錄，并檢索其源代碼。

有趣的是，微軟 web 的配置文件由于一個輸入錯誤（配置標記未正確關閉），這使得 IIS 無法解析該文件，也因此在此次漏洞事件中“幸免于難”。

同時微軟也發(fā)現(xiàn)使用其他 Git 部署工具的用戶同樣或被暴露：若任何 Git 部署之前，在 Azure 應用程序服務容器中創(chuàng)建或修改了文件（使用 FTP、Web 部署或 SSH），服務就會進入“就地部署”狀態(tài)，此狀態(tài)會強制未來在可公開訪問的目錄中啟動任何 Git 部署。

“NotLegit”漏洞：受影響范圍

自 2017 年 9 月以來，所有在 Azure 應用程序服務中使用“Local Git”部署的 PHP、Node、Ruby 和 Python 應用程序或都受到該“NotLegit”漏洞的影響。唯一未受此安全漏洞影響的應用程序，是基于 IIS 的應用程序。

眾所周知，Git 文件夾是一個常見的安全問題，但很多用戶根本沒有意識到這一點。

惡意攻擊者會不斷掃描互聯(lián)網(wǎng)，尋找暴露的 Git 文件夾，并從中收集機密和知識產(chǎn)權。除源代碼可能包含密碼及訪問令牌等秘密外，泄露的源代碼還經(jīng)常被用于進一步復雜的攻擊，如收集科技巨頭研發(fā)部門信息、了解內(nèi)部基礎設施以及查找軟件漏洞等。

通過用戶錯誤，意外的暴露了 Git 文件夾是一個安全問題，甚至會影響大型國際活動?！癗otLegit 漏洞”的突出之處在于云用戶是無辜的：他們并未錯誤地暴露他們的 Git 文件夾——Azure 服務，但因為安全問題發(fā)生在 Azure 服務中，所以云用戶才被大規(guī)模暴露，但這是他們并不知情也無法控制的事情。