Azure应用服务缺陷暴露了大量源代码存储库

安全研究人员发现，微软Azure应用服务中的一个缺陷多年来一直在暴露客户源代码。据云安全提供商Wiz.io称，自2017年以来，微软用于构建和托管Web应用程序的平台在其Linux变体中包含不安全的默认行为，因此PHP、Node、Python、Ruby和Java客户源代码已经暴露。

该公司将该漏洞命名为“NotLegit”，并称其“很可能在野外被利用”。不过，基于IIS的应用程序是安全的。在部署了自己的易受攻击的应用程序后，Wiz.io只用了四天时间就让威胁行为者试图访问暴露端点上的源代码文件夹的内容。

但是，无法确定是否有人知道NotLegit缺陷，或者它是否只是对暴露的.git文件夹的常规扫描。

Wiz.io指出：“一小部分客户仍有可能暴露在风险中，应采取某些用户操作来保护他们的应用程序，正如微软在2021年12月7日至15日之间发布的几封电子邮件警报中所详述。”

微软承认了这个缺陷，并表示已经部署了修复程序。

“Wiz.io向MSRC通报了一个问题，即客户可能会无意中配置要在内容根目录中创建的.git文件夹，这将使他们面临信息泄露的风险。这与配置为提供静态内容的应用程序结合使用时，可以让其他人下载不打算公开的文件，”微软在一份声明中说。

为了解决这个问题，微软更新了所有PHP镜像，禁止将.git文件夹作为静态内容作为纵深防御措施，通知受影响的客户，以及那些将.git文件夹上传到内容目录的客户，并更新了其安全建议文档，其中包含有关保护源代码的附加部分。最后，它还更新了就地部署的文档。

标签：