微软通知客户：Azure 的 bug 泄露了他们的源代码

本月早些时候微软通知了一批受最近发现的bug影响的Azure客户，该漏洞至少自2017年9月以来就泄露了他们的Azure Web应用程序的源代码。

该漏洞是由云安全公司Wiz发现的，早在9月就报告给了微软。这个问题已在11月得到了修复，微软在过去几周内一直在调查到底有多少客户受到了影响。

漏洞影响Azure网站托管功能

这个名为NotLegit的问题存在于Azure App Service中，这是Azure云的一项功能，让客户可以从源代码存储库部署网站和Web应用程序。

Wiz的研究人员表示，如果Azure客户选择了“Local Git”选项，从托管在同一台Azure服务器上的Git存储库部署他们的网站，源代码也会在网上泄露。

微软在今天的一篇博文中表示，通过这种方法部署的所有PHP、Node、Ruby、Python和Java应用程序者受到了影响。只有部署在基于Linux的Azure服务器上的应用程序受到了影响，但托管在Windows Server系统上的那些基于IIS的应用程序没受到影响。

Wiz的团队在今天的报告中表示，早在2013年部署的应用程序受到了影响，不过源代码是从2017年9月开始泄露的，该漏洞正是在那个时候被引入到了Azure的系统中。

漏洞极有可能已被利用

最危险的泄露场景是这种情形：泄露的源代码包含一个.git配置文件，该文件本身含有其他客户系统（比如数据库和API）的密码和访问令牌。

在过去的这十年，有多个僵尸网络一直在不断扫描互联网以查找无意中泄露的.git文件，知道这些文件的内容让威胁分子可以获得访问权，进而访问更有价值的企业基础设施。

虽然威胁分子可能不知道NotLegit漏洞本身，但Wiz的研究主管Shir Tamari告诉安全外媒，他认为这个漏洞很可能已被间接利用了。

Tamari在今天的一次采访中表示，他们搭建了一个不安全的Azure托管网站用于测试。在四个小时的过程中，他们观察到五个不同的威胁分子先后访问了泄露的源代码和.git配置文件。

企图访问泄露的源代码的活动

微软修补这个漏洞的方法是，更新PHP镜像，禁止将.git文件夹作为静态内容来提供。

Azure App Service说明文档也作了更新，所附的新部分介绍了如何适当保护应用程序的源代码和就地部署。

参考链接：https://msrc-blog.microsoft.com/2021/12/22/azure-app-service-linux-source-repository-exposure/