研究人員說，微軟Azure應(yīng)用服務(wù)有一個已經(jīng)存在了四年的漏洞，該漏洞可能會暴露用PHP、Python、Ruby或Node編寫的網(wǎng)絡(luò)應(yīng)用程序的源代碼，這些應(yīng)用都是在本地使用Git部署的。

根據(jù)Wiz的分析，該漏洞幾乎可以肯定已經(jīng)作為零日漏洞被在野利用了。該公司將該漏洞稱為 "NotLegit"，并表示它自2017年9月以來就一直存在。

Azure應(yīng)用服務(wù)(又稱Azure Web Apps)是一個基于云計算的平臺，主要用于托管網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序。同時，本地Git允許開發(fā)人員在Azure應(yīng)用服務(wù)容器內(nèi)啟動本地的Git倉庫，以便于將代碼直接部署到服務(wù)器上。部署后，互聯(lián)網(wǎng)上的任何人都可以在*.azurewebsites.net域名下訪問該應(yīng)用程序。

這個漏洞出現(xiàn)的原因是因為當(dāng)使用本地Git時，Git文件夾也會被上傳并在未打補丁的系統(tǒng)上公開訪問;它會被放置在"/home/site/wwwroot "目錄中，任何人都可以進行訪問。

據(jù)該公司稱，從安全角度來看，這有很嚴重的問題。

研究人員在本周的一篇文章中指出："除了源代碼可能包含密碼和訪問令牌等信息外，泄露的源代碼往往會被用于進一步的復(fù)雜攻擊，如用來收集研發(fā)部門的情報，研究內(nèi)部基礎(chǔ)設(shè)施，以及尋找軟件漏洞。當(dāng)源代碼可用時，尋找軟件的漏洞就要容易得多了"。

他們補充說，基本上，一個惡意攻擊者所要做的就是從目標應(yīng)用程序中獲取'/.git'目錄，并檢索其中的源代碼。

拙劣的緩解措施

微軟最初確實公布了一個用于緩解該漏洞的方法，其方法是在公共目錄下的Git文件夾中添加一個"web.config "文件，限制公眾的訪問。但事實證明這個修復(fù)措施并不是一個很好的方法。

只有微軟的IIS網(wǎng)絡(luò)服務(wù)器會處理web.config文件，但是[如果]你使用了PHP、Ruby、Python或Node......這些編程語言會被部署在不同的webservers(Apache、Nginx、Flask等)內(nèi)，它們并不會處理web.config文件，這也就使得緩解措施對他們沒有任何效果，因此非常容易受到攻擊。

Wiz在10月份向微軟報告了這個長期以來一直存在的漏洞，并因這一發(fā)現(xiàn)獲得了7500美元的賞金;而該巨頭在12月7日至15日之間通過電子郵件向受影響的用戶部署了修復(fù)措施。

可能已經(jīng)被在野利用

研究人員警告說，Git文件夾經(jīng)常由于工作人員錯誤的配置(不僅僅是漏洞，如本案例)而被暴露在網(wǎng)絡(luò)上。因此，網(wǎng)絡(luò)犯罪分子正在積極尋找它們。

他們說："Git文件夾的暴露是一個很常見的安全漏洞，用戶甚至都沒有意識到這一點。惡意攻擊者正在不斷掃描互聯(lián)網(wǎng)，尋找暴露的Git文件夾，他們可以從中收集組織的秘密和其他信息。"

Wiz部署了一個有漏洞的Azure服務(wù)應(yīng)用程序，并將其鏈接到了一個未使用的域，看看是否會有任何攻擊人員對其進行利用。

他們說："我們一直耐心地等待，看是否會有人試圖訪問Git文件。"在部署后的四天內(nèi)，我們毫不驚訝地看到了來自未知攻擊者對Git文件夾的多個請求....，這種利用方法非常容易而且普遍，現(xiàn)在正在被犯罪分子大量的利用。"

據(jù)Wiz稱，以下用戶應(yīng)及時評估潛在的風(fēng)險，確保并更新他們的系統(tǒng)。

1、通過FTP或Web Deploy或Bash/SSH部署代碼的用戶，這會導(dǎo)致文件在任何git部署之前Web應(yīng)用中就會被初始化。

2、在網(wǎng)絡(luò)應(yīng)用中啟用LocalGit的用戶。

3、用Git克隆/推送序列發(fā)布更新的用戶。

研究人員指出："由于安全問題是發(fā)生在Azure服務(wù)中，大量的云端用戶受到了影響，而且他們也不知道或沒有受到任何的保護。

本文翻譯自：https://threatpost.com/microsoft-azure-zero-day-source-code/177270/如若轉(zhuǎn)載，請注明原文地址。