中科天齐软件源代码安全检测中心
自2017年9月以来,微软的Azure应用服务(Azure App Service)中出现安全漏洞,导致使用Java、Node、PHP、Python和Ruby 编写的应用程序的源代码暴露了至少四年。
该漏洞代号为“NotLegit”,Wiz的研究人员于2021年10月7日向微软报告了该漏洞,随后在11月采取了缓解措施,修复了该信息披露漏洞。微软表示,“一小部分客户”面临风险,并补充道:“在应用程序中已经创建了文件后,通过Local Git将代码部署到App Service Linux的客户是唯一受影响的客户。”
Azure应用服务(又名Azure Web应用程序)是一个基于云计算的平台,用于构建和托管Web应用程序。它允许用户使用本地的Git存储库或GitHub和Bitbucket上的存储库将源代码和构件部署到服务中。
当使用Local Git方法部署到Azure App Service时,会出现不安全的默认行为,导致Git存储库创建在一个公开可访问的目录(home/site/wwwroot)中。
虽然微软确实在.git 文件夹中添加了一个“web.config”文件,其中包含存储库的状态和历史以限制公共访问,但配置文件仅用于依赖于微软自己的 C# 或 ASP.NET 应用程序IIS Web 服务器,不包括使用其他编程语言(如 PHP、Ruby、Python 或 Node)编码的应用程序,这些语言部署在不同的 Web 服务器(如 Apache、Nginx 和 Flask)上。
“基本上,恶意行为者所要做的就是从目标应用程序中获取‘/.git’目录,并检索其源代码,”Wiz 研究员 Shir Tamari称。“恶意行为者不断扫描互联网,寻找暴露的Git文件夹,他们可以从中收集机密和知识产权。除了源代码可能包含密码和访问令牌等机密外,泄露的源代码还经常被用于更复杂的攻击。”
Tamari表示,掌握了源代码后,发现软件漏洞就容易多了。
因此建议涉及此使用Azure应用服务的企业尽快升级修补漏洞。此外,接二连三出现的软件安全漏洞为开发人员和企业做出提醒,存在漏洞的软件出现安全事故只是时间问题,为了减少或尽可能降低网络安全事件发生,在软件构建初期及开发阶段,就应及时将安全问题放在首位。尤其随着第三方组件代码的引用逐渐增多,对代码中潜在的安全问题需被考虑进来,静态代码检测工具SAST及开源组件检测工具SCA可以协助开发人员检测查找代码缺陷及漏洞,提高软件安全性,增强对网络攻击的抵抗能力。
参读链接:
https://thehackernews.com/2021/12/4-year-old-bug-in-azure-app-service.html
