微软通知客户Azure bug暴露了他们的源代码

微软通知客户Azure bug暴露了他们的源代码

微软本月初通知了一组受最近发现的漏洞影响的Azure客户，该漏洞至少自2017年9月以来暴露了其Azure Web应用程序的源代码。

该漏洞由云安全公司Wiz发现，并于9月向微软报告。该问题已于11月修复，微软在过去几周一直在调查有多少客户受到影响。

漏洞影响Azure网站托管功能

这个绰号为NotLegit的问题存在于Azure App Service中，这是Azure云的一项功能，允许客户从源代码存储库部署网站和Web应用程序。

Wiz研究人员表示，在Azure客户选择“本地Git”选项从托管在同一Azure服务器上的Git存储库中部署其网站的情况下，源代码也会在线公开。

微软在今天的一篇博文中表示，通过这种方法部署的所有PHP、Node、Ruby和Python应用程序都受到了影响。只有部署在基于Linux的Azure服务器上的应用程序受到影响，而不是那些托管在Windows Server系统上的应用程序。

Wiz团队在今天的一份报告中表示，早在2013年部署的应用程序就受到了影响，尽管该漏洞始于2017年9月，当时该漏洞被引入Azure的系统。

漏洞最有可能被利用

最危险的暴露场景是暴露的源代码包含一个.git配置文件，该配置文件本身包含其他客户系统（如数据库和API）的密码和访问令牌。

在过去的十年中，有多个僵尸网络一直在扫描互联网以查找意外暴露的.git文件，因为它们知道它们的内容可能使威胁参与者能够访问更有价值的企业基础设施。

虽然威胁者可能不知道NotLegit漏洞本身，但Wiz研究主管Shir Tamari告诉The Record，他认为该漏洞很可能被间接利用。

Tamari在今天的一次采访中说，他们为测试创建了一个不安全的Azure托管网站，在四个小时的过程中，他们观察到五个不同的威胁参与者访问了暴露的源代码和.git配置文件。