Log4j 漏洞還沒(méi)忙完，新的漏洞又出現(xiàn)了！

整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

本月 9 日，Apache Log4j 2 被曝存在“核彈級(jí)”漏洞引起巨大風(fēng)波，全球近一半企業(yè)均受到影響，大批安全人員為此深夜加班修 Bug。十多天過(guò)去了，該漏洞的修復(fù)工作仍未停止，甚至安全公司還接連發(fā)現(xiàn)其中的另外兩個(gè)安全漏洞，不禁讓人為這些天連日修 Bug 的工程師們捏一把汗。

然而“屋漏偏逢連夜雨”，Log4j 2 的漏洞還沒(méi)解決完，新的漏洞又出現(xiàn)了：據(jù)云安全供應(yīng)商 Wiz 報(bào)告，微軟 Azure 應(yīng)用服務(wù)中存在一個(gè)名為“NotLegit”的漏洞——該漏洞將影響所有通過(guò)“本地 Git”部署的 PHP、Node、Ruby 和 Python 應(yīng)用。

漏洞自 2017 年 9 月便一直存在

微軟旗下的 Azure 應(yīng)用服務(wù)是一個(gè)基于云計(jì)算、用于托管網(wǎng)站和 Web 應(yīng)用的平臺(tái)，因其易于使用，頗受企業(yè)及開(kāi)發(fā)者的歡迎：用戶需先選擇支持的編程語(yǔ)言和操作系統(tǒng)，再使用 FTP、SSH 或通過(guò)從 Git 服務(wù)（如 GitHub 或私有 Git 存儲(chǔ)庫(kù)）中提取源代碼在 Azure 托管的服務(wù)器上部署即可。部署成功后，所有人都可以在 .azurewebsites.net 域中訪問(wèn)該應(yīng)用。而本次 Wiz 研究團(tuán)隊(duì)發(fā)現(xiàn)的漏洞就是在部署這一步。

一般而言，當(dāng)開(kāi)發(fā)者將 Git 存儲(chǔ)庫(kù)部署到 Web 服務(wù)器和存儲(chǔ)桶時(shí)，是不會(huì)上傳 .git 文件夾的，因?yàn)槠渲邪创a、開(kāi)發(fā)者郵件和其他敏感數(shù)據(jù)。但 Azure 應(yīng)用服務(wù)有個(gè)奇怪的設(shè)定：當(dāng)應(yīng)用通過(guò)“本地 Git”（在 Azure 應(yīng)用服務(wù)容器內(nèi)啟動(dòng)本地 Git 存儲(chǔ)庫(kù)，即可將代碼直接推送到服務(wù)器）部署至 Azure 應(yīng)用服務(wù)時(shí)，其 Git 存儲(chǔ)庫(kù)是在所有人都可以訪問(wèn)的公開(kāi)訪問(wèn)目錄 (/home/site/wwwroot) 中創(chuàng)建的。為了保護(hù)其敏感數(shù)據(jù)不會(huì)暴露，微軟會(huì)在限制公共訪問(wèn)的 .git 文件夾中添加一個(gè)“web.config”文件，只可由微軟的 IIS 網(wǎng)絡(luò)服務(wù)器處理。

但 Wiz 研究團(tuán)隊(duì)發(fā)現(xiàn)，這一措施只對(duì)同樣用 IIS 部署的 C# 或 ASP.NET 應(yīng)用有效，對(duì)部署在不同 Web 服務(wù)器（如 Apache、Nginx、Flask 等）中的 PHP、Node、Ruby 和 Python 應(yīng)用則有一個(gè) Bug：這些 Web 服務(wù)器無(wú)法處理“web.config”文件，導(dǎo)致攻擊者只要從目標(biāo)應(yīng)用中獲取“/.git”目錄，就可以檢索其源代碼，應(yīng)用開(kāi)發(fā)者也就面臨信息泄露的風(fēng)險(xiǎn)。

Wiz 方面將該漏洞稱為“NotLegit”，自 2017 年 9 月以來(lái)便一直存在，很可能已被利用。Wiz 指出，唯一不受“NotLegit”漏洞影響的是基于 IIS 的應(yīng)用，具體影響范圍包括：

• 自 2017 年 9 月以來(lái)，在 Azure 應(yīng)用服務(wù)中使用“本地 Git”部署的所有 PHP、Node、Ruby 和 Python 應(yīng)用；

• 從 2017 年 9 月起，在應(yīng)用容器中創(chuàng)建或修改文件后，使用 Git 源代碼部署在 Azure 應(yīng)用服務(wù)中的所有 PHP、Node、Ruby 和 Python 應(yīng)用；

為了評(píng)估“NotLegit”暴露的可能性，Wiz 研究團(tuán)隊(duì)還為此創(chuàng)建了一個(gè)具有該漏洞的 Azure 托管網(wǎng)站進(jìn)行測(cè)試，結(jié)果在 4 個(gè)小時(shí)內(nèi)發(fā)現(xiàn)了 5 個(gè)不同的攻擊者訪問(wèn)了暴露的源代碼和 .git 文件。Wiz 對(duì)此表示：“這種漏洞的利用方法極其簡(jiǎn)單、常見(jiàn)，且正被積極利用。”

（Wiz 還放了個(gè)小彩蛋：微軟的 web.config 文件其實(shí)有一處拼寫錯(cuò)誤，使配置標(biāo)記未正確關(guān)閉，導(dǎo)致 IIS 無(wú)法解析。巧的是，這個(gè)錯(cuò)誤正好陰差陽(yáng)錯(cuò)地阻止了攻擊者對(duì)整個(gè)目錄的訪問(wèn)......）

微軟已采取相關(guān)措施

發(fā)現(xiàn)“NotLegit”后，Wiz 在 2021 年 10 月 7 日向微軟報(bào)告此事，而微軟在了解問(wèn)題嚴(yán)重性后很快便采取了相關(guān)必要措施。Azure 應(yīng)用服務(wù)團(tuán)隊(duì)進(jìn)行深入調(diào)查找到了根結(jié)所在，隨后為大部分受影響客戶修復(fù)應(yīng)用，并在 2021 年 12 月 7 日至 15 日之間通過(guò)郵件通知所有仍然暴露的客戶。微軟為此采取的具體措施包括：

• 更新了所有 PHP 圖像，禁止將 .git 文件夾作為靜態(tài)內(nèi)容提供，以作為深度防御措施。

• 通知因激活本地部署而受到影響的客戶，并提供有關(guān)如何緩解問(wèn)題的具體指導(dǎo)，還通知了將 .git 文件夾上傳到內(nèi)容目錄的客戶。

• 更新了安全建議文檔，增加了有關(guān)保護(hù)源代碼的部分，還更新了本地部署的文檔。

“并非所有本地 Git 用戶都受到影響。”微軟補(bǔ)充道：“只有部署在基于 Linux 的 Azure 服務(wù)器上的應(yīng)用會(huì)受到影響，那些托管在 Windows Server 系統(tǒng)上的應(yīng)用，因?yàn)樵诨?IIS 的環(huán)境中運(yùn)行，所以不會(huì)受到漏洞影響。”

為感謝 Wiz 發(fā)現(xiàn)這一漏洞，微軟還向 Wiz 提供了 7500 美元的賞金——Wiz 計(jì)劃將其全額捐贈(zèng)。

最后，如有近期收到微軟郵件通知的 Azure 用戶，最好盡快根據(jù)指導(dǎo)修復(fù)漏洞，以避免造成信息泄露。

參考鏈接：

• https://msrc-blog.microsoft.com/2021/12/22/azure-app-service-linux-source-repository-exposure/

• https://www.wiz.io/blog/azure-app-service-source-code-leak