Azure应用程序服务中4年前的漏洞暴露了数百个源代码存储库

A security flaw has been unearthed in Microsoft's Azure App Service that resulted in the exposure of source code of customer applications written in Java, Node, PHP, Python, and Ruby for at least four years since September 2017.

该漏洞，代号为“NotruGIT”，于2021年10月7日被WiZ研究人员报告给科技巨头，随后在十一月采取了补救措施来修复信息泄露错误。微软表示，“有限的一部分客户”面临风险，并补充说，“在应用程序中已经创建文件后，通过本地Git将代码部署到应用程序服务Linux的客户是唯一受影响的客户。”

Azure应用服务（又名Azure Web Apps）是一个基于云计算的平台，用于构建和托管Web应用程序。它允许用户使用本地Git存储库，或通过GitHub和Bitbucket上托管的存储库，将源代码和工件部署到服务中。

当使用本地Git方法部署到Azure App Service时，会出现不安全的默认行为，导致Git存储库在可公开访问的目录（home/site/wwwroot）中创建。

而微软确实在网站中添加了一个“web.config”文件。git文件夹—；其中包含存储库的状态和历史—；为了限制公共访问，配置文件仅与C#或ASP一起使用。NET应用程序，这些应用程序依赖于微软自己的IIS web服务器，而不包括用PHP、Ruby、Python或Node等其他编程语言编写的应用程序，这些应用程序与Apache、Nginx和Flask等不同的web服务器一起部署。

Wiz研究员Shir Tamari说：“基本上，恶意参与者所要做的就是从目标应用程序中获取“/.git”目录，并检索其源代码。”。“恶意参与者不断扫描互联网，寻找暴露的Git文件夹，从中收集机密和知识产权。除了源代码可能包含密码和访问令牌等机密外，泄露的源代码还经常被用于进一步的复杂攻击。”

Tamari补充道：“当源代码可用时，发现软件中的漏洞要容易得多。”。