存在4年!Azure應用程式服務漏洞暴露了數百個原始碼庫

自2017年9月以來，微軟的Azure應用服務(Azure App Service)中出現安全漏洞，導致使用Java、Node、PHP、Python和Ruby 編寫的應用程式的原始碼暴露了至少四年。

該漏洞代號為“NotLegit”，Wiz的研究人員於2021年10月7日向微軟報告了該漏洞，隨後在11月採取了緩解措施，修復了該資訊披露漏洞。微軟表示，“一小部分客戶”面臨風險，並補充道:“在應用程式中已經建立了檔案後，通過Local Git將程式碼部署到App Service Linux的客戶是唯一受影響的客戶。”

Azure應用服務(又名Azure Web應用程式)是一個基於雲端計算的平臺，用於構建和託管Web應用程式。它允許使用者使用本地的Git儲存庫或GitHub和Bitbucket上的儲存庫將原始碼和構件部署到服務中。

當使用Local Git方法部署到Azure App Service時，會出現不安全的預設行為，導致Git儲存庫建立在一個公開可訪問的目錄(home/site/wwwroot)中。

雖然微軟確實在.git 資料夾中新增了一個“web.config”檔案，其中包含儲存庫的狀態和歷史以限制公共訪問，但配置檔案僅用於依賴於微軟自己的 C# 或 ASP.NET 應用程式IIS Web 伺服器，不包括使用其他程式語言(如 PHP、Ruby、Python 或 Node)編碼的應用程式，這些語言部署在不同的 Web 伺服器(如 Apache、Nginx 和 Flask)上。

“基本上，惡意行為者所要做的就是從目標應用程式中獲取‘/.git’目錄，並檢索其原始碼，”Wiz 研究員 Shir Tamari稱。“惡意行為者不斷掃描網際網路，尋找暴露的Git資料夾，他們可以從中收集機密和智慧財產權。除了原始碼可能包含密碼和訪問令牌等機密外，洩露的原始碼還經常被用於更復雜的攻擊。”

Tamari表示，掌握了原始碼後，發現軟體漏洞就容易多了。

因此建議涉及此使用Azure應用服務的企業儘快升級修補漏洞。此外，接二連三出現的軟體安全漏洞為開發人員和企業做出提醒，存在漏洞的軟體出現安全事故只是時間問題，為了減少或儘可能降低網路安全事件發生，在軟體構建初期及開發階段，就應及時將安全問題放在首位。尤其隨著第三方元件程式碼的引用逐漸增多，對程式碼中潛在的安全問題需被考慮進來， 靜態程式碼檢測工具SAST及開源元件檢測工具SCA可以協助開發人員檢測查詢程式碼缺陷及漏洞，提高軟體安全性，增強對網路攻擊的抵抗能力。

參讀連結：