研究人員說(shuō)，微軟Azure應(yīng)用服務(wù)有一個(gè)已經(jīng)存在了四年的漏洞，該漏洞可能會(huì)暴露用PHP、Python、Ruby或Node編寫的網(wǎng)絡(luò)應(yīng)用程序的源代碼，這些應(yīng)用都是在本地使用Git部署的。

根據(jù)Wiz的分析，該漏洞幾乎可以肯定已經(jīng)作為零日漏洞被在野利用了。該公司將該漏洞稱為 "NotLegit"，并表示它自2017年9月以來(lái)就一直存在。

Azure應(yīng)用服務(wù)(又稱Azure Web Apps)是一個(gè)基于云計(jì)算的平臺(tái)，主要用于托管網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序。同時(shí)，本地Git允許開發(fā)人員在Azure應(yīng)用服務(wù)容器內(nèi)啟動(dòng)本地的Git倉(cāng)庫(kù)，以便于將代碼直接部署到服務(wù)器上。部署后，互聯(lián)網(wǎng)上的任何人都可以在*.azurewebsites.net域名下訪問該應(yīng)用程序。

這個(gè)漏洞出現(xiàn)的原因是因?yàn)楫?dāng)使用本地Git時(shí)，Git文件夾也會(huì)被上傳并在未打補(bǔ)丁的系統(tǒng)上公開訪問;它會(huì)被放置在"/home/site/wwwroot "目錄中，任何人都可以進(jìn)行訪問。

據(jù)該公司稱，從安全角度來(lái)看，這有很嚴(yán)重的問題。

研究人員在本周的一篇文章中指出："除了源代碼可能包含密碼和訪問令牌等信息外，泄露的源代碼往往會(huì)被用于進(jìn)一步的復(fù)雜攻擊，如用來(lái)收集研發(fā)部門的情報(bào)，研究?jī)?nèi)部基礎(chǔ)設(shè)施，以及尋找軟件漏洞。當(dāng)源代碼可用時(shí)，尋找軟件的漏洞就要容易得多了"。

他們補(bǔ)充說(shuō)，基本上，一個(gè)惡意攻擊者所要做的就是從目標(biāo)應(yīng)用程序中獲取'/.git'目錄，并檢索其中的源代碼。

拙劣的緩解措施

微軟最初確實(shí)公布了一個(gè)用于緩解該漏洞的方法，其方法是在公共目錄下的Git文件夾中添加一個(gè)"web.config "文件，限制公眾的訪問。但事實(shí)證明這個(gè)修復(fù)措施并不是一個(gè)很好的方法。

只有微軟的IIS網(wǎng)絡(luò)服務(wù)器會(huì)處理web.config文件，但是[如果]你使用了PHP、Ruby、Python或Node......這些編程語(yǔ)言會(huì)被部署在不同的webservers(Apache、Nginx、Flask等)內(nèi)，它們并不會(huì)處理web.config文件，這也就使得緩解措施對(duì)他們沒有任何效果，因此非常容易受到攻擊。

Wiz在10月份向微軟報(bào)告了這個(gè)長(zhǎng)期以來(lái)一直存在的漏洞，并因這一發(fā)現(xiàn)獲得了7500美元的賞金;而該巨頭在12月7日至15日之間通過電子郵件向受影響的用戶部署了修復(fù)措施。

可能已經(jīng)被在野利用

研究人員警告說(shuō)，Git文件夾經(jīng)常由于工作人員錯(cuò)誤的配置(不僅僅是漏洞，如本案例)而被暴露在網(wǎng)絡(luò)上。因此，網(wǎng)絡(luò)犯罪分子正在積極尋找它們。

他們說(shuō)："Git文件夾的暴露是一個(gè)很常見的安全漏洞，用戶甚至都沒有意識(shí)到這一點(diǎn)。惡意攻擊者正在不斷掃描互聯(lián)網(wǎng)，尋找暴露的Git文件夾，他們可以從中收集組織的秘密和其他信息。"

Wiz部署了一個(gè)有漏洞的Azure服務(wù)應(yīng)用程序，并將其鏈接到了一個(gè)未使用的域，看看是否會(huì)有任何攻擊人員對(duì)其進(jìn)行利用。

他們說(shuō)："我們一直耐心地等待，看是否會(huì)有人試圖訪問Git文件。"在部署后的四天內(nèi)，我們毫不驚訝地看到了來(lái)自未知攻擊者對(duì)Git文件夾的多個(gè)請(qǐng)求....，這種利用方法非常容易而且普遍，現(xiàn)在正在被犯罪分子大量的利用。"

據(jù)Wiz稱，以下用戶應(yīng)及時(shí)評(píng)估潛在的風(fēng)險(xiǎn)，確保并更新他們的系統(tǒng)。

1、通過FTP或Web Deploy或Bash/SSH部署代碼的用戶，這會(huì)導(dǎo)致文件在任何git部署之前Web應(yīng)用中就會(huì)被初始化。

2、在網(wǎng)絡(luò)應(yīng)用中啟用LocalGit的用戶。

3、用Git克隆/推送序列發(fā)布更新的用戶。

研究人員指出："由于安全問題是發(fā)生在Azure服務(wù)中，大量的云端用戶受到了影響，而且他們也不知道或沒有受到任何的保護(hù)。

本文翻譯自：https://threatpost.com/microsoft-azure-zero-day-source-code/177270/如若轉(zhuǎn)載，請(qǐng)注明原文地址。