傑愛得資訊 jumpAD
0800-000-964

Azure App服務NotLegit漏洞恐導致用戶程式碼儲存庫暴露

取自:iThome
您好,我們是傑愛得資訊,歡迎來到我們的媒體聯播網

Azure App服務NotLegit漏洞恐導致用戶程式碼儲存庫暴露


微軟Azure App服務的伺服器配置漏洞,可能使得非使用IIS網頁伺服器的應用程式程式碼,遭到意外暴露,而目前該漏洞可能已經遭到開採利用多時

文/李建興 | 2021-12-24發表

雲端資安服務Wiz的研究團隊,發現了一個在Azure App服務中不安全的預設行為,當用戶使用本地端Git(Local Git)選項部署應用程式時,Azure App服務將會暴露以PHP、Python、Ruby或Node編寫的應用程式原始碼,這個被稱為NotLegit的漏洞,從2017年9月就已經存在,研究團隊提到,這個漏洞很可能已經被開採利用了。

Azure App服務是一個雲端運算平臺,能夠用來託管網站和網頁應用程式,由於使用起來非常方便,因此受開發者歡迎,開發人員選擇受支援的程式語言和作業系統後,便可以利用FTP、SSH或從Git服務拉取程式碼,來部署應用程式或是構件。經部署後,網際網路使用者都可以使用*.azurewebsites.net網域存取該程式。

下方繼續閱讀
曝光6,789/日 成本100/月
下文請點廣告解鎖
下文請點廣告解鎖
投放Google多媒體聯播網廣告(點此)arrow_downward,包含轉換代碼安裝

※ 如果看到投資類型廣告,請再三評估風險!

繼續閱讀keyboard_double_arrow_down
而本地端Git是Azure所支援,將程式碼和構件部署到Azure App服務的一種方法,使用本地端Git,用戶可以在Azure App服務容器中,創建一個本地端Git儲存庫,並且直接將程式碼推送到伺服器中。

Azure App服務NotLegit漏洞恐導致用戶程式碼儲存庫暴露


圖片來源_Wiz

在最佳實務中,當開發者將Git儲存庫部署到網頁伺服器和儲存桶中時,要確保沒有上傳.git資料夾,因為.git資料夾包含原始碼、開發人員電子郵件和其他敏感資料,而當用戶使用本地端Git方式部署到Azure App服務時,git儲存庫將位於/home/site/wwwroot,也就是可供任何人存取的公開目錄。

研究團隊提到,微軟會在公開目錄中的.git資料夾,添加一個web.config檔案,來限制公開目錄中的.git資料夾被存取,但是只有微軟的IIS網頁伺服器會處理web.config檔案,當用戶C#或ASP.NET這些使用IIS部署的應用程式,都會被妥善的保護。

但問題在於PHP、Ruby、Python或Node開發的應用程式,由於這些程式語言部署在Apache、Nginx和Flask等不同的網頁伺服器,這些伺服器不處理web.config檔案,因此.git資料夾裡的資料便會暴露在外,惡意攻擊只要從應用程式中擷取/.git資料夾,就可以直接存取程式碼。

有趣的是,研究團隊發現web.config檔案有一個小錯誤,配置標籤沒有被正確關閉,因此其實IIS也無法正確解析該文件,但由於拼寫錯誤,也阻擋了整個目錄被存取,因此誤打誤撞,web.config檔案還是發揮了阻擋存取的功能。

Azure App服務NotLegit漏洞恐導致用戶程式碼儲存庫暴露


圖片來源_Wiz

微軟在之後,又發現了使用其他Git部署工具,也可能造成程式碼暴露的問題,當任何Git部署之前,Azure App服務容器曾創建或修改檔案,該服務會進入就地部署狀態,這將會強制未來Git部署都會存在於可公開存取的目錄中。

具體來說,受NotLegit影響的用例,包括在2017年9月以來,使用Azure App服務中預設在應用程式,使用本地端Git部署的PHP、Node、Ruby和Python應用程式,以及在2017年9月以來,在應用程式容器中創建和修改文件後,使用任何Git來源部署到Azure App服務中的所有PHP、Node、Ruby和Python應用程式。

這個漏洞可能已經被廣泛地利用,研究團隊為了要評估該漏洞的嚴重性,特別部署了一個易受攻擊的Azure App服務應用程式,並將其連接到未被使用的網域,觀察是否有攻擊者試圖存取.git檔案,而就在部署4天後,有未知的人士對.git資料夾進行多次請求。目前微軟已經修復該漏洞,並且在12月7日發送電子郵件通知易受攻擊的用戶。
點此投放Google多媒體聯播網廣告
※ 如果看到投資類型廣告,請再三評估風險!
post_add 資料來源:iThome

傑愛得資訊領先業界

國際認證獎項報導
我們是業界少數同時具備數位行銷、系統開發、雲端服務的數位整合專業團隊
─ 2021.05

【2024年亞太區年度AI人工智慧廣告科技公司】封面人物
榮獲 MarTech Outlook 美國期刊評選

【2023年亞太區20大傑出AI人工智慧解決方案服務商】
榮獲 APAC CIO Outlook 美國矽谷期刊評選

【2024年值得關注的30大領先企業】
榮獲 CIO Bulletin 美國期刊評選

取得AI廣告追蹤技術國家發明專利

ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員

bookmark_star 查看資歷
傑愛得資訊 顧問諮詢報價
公司/姓名
頭銜/稱謂
e-mail
LINE id
公司資本額
大約預算
聯繫語言
網路行銷
Google Ads
最高成效廣告
智慧廣告
探索廣告
APP 宣傳廣告
交給顧問評估規畫
Yahoo Ads
交給顧問評估規畫
Microsoft Ads
關鍵字廣告(原Yahoo 關鍵字)
網路系統
雲服務專案
諮詢/備註
※本公司與全城通律法律顧問合作,以上服務皆遵守法律規範。
jumpAD 吉傳媒 PFP Next Erene Design 懿坊飾品 三分糖手作中品牌故事
🤫 悄悄說: