Wiz 研究團隊在 Azure 應用服務中檢測到一個不安全的默認行為，該行為暴露了使用“Local Git”部署的用 PHP、Python、Ruby 或 Node 編寫的客戶應用程序的源代碼。Wiz 團隊將該漏洞命名為“NotLegit”，并指出這一漏洞自 2017 年 9 月以來就一直存在，很可能已經被利用。

Wiz 于 2021 年 10 月 7 日向微軟報告了這個安全漏洞。微軟方面在 12 月 7 日至 15 日期間向一些受影響嚴重的用戶發(fā)送了警報郵件，目前該漏洞已經得到緩解;但還有一小部分用戶可能仍處在風險當中，建議應適當采取保護措施。

[[441928]]

根據介紹，Azure App Service(也稱為 Azure Web Apps)，是一個基于云計算的平臺，用于托管網站和 Web 應用程序。有多種方法可以將源代碼和工件部署到 Azure App Service，Local Git 就是其中之一。用戶通過 Azure App Service 容器啟動 Local Git 倉庫，并將代碼直接推送到服務器上。

問題在于，在使用 Local Git 部署方法部署到 Azure App Service 時，git 存儲庫是在任何人都可以直接訪問的目錄 (/home/site/wwwroot) 中創(chuàng)建的;Wiz 將此舉稱為微軟的一個“怪癖”。而為了保護用戶的文件，微軟會在公共目錄內的 .git 文件夾中添加了一個"web.config"文件，以限制公共訪問。但是，只有微軟的 IIS 網絡服務器可以處理"web.config"文件。因此對于同樣使用 IIS 部署的 C# 或 ASP.NET 應用程序，此緩解措施是有效的。

但對 PHP、Node、Ruby 和 Python 這些部署在不同 Web 服務器(Apache、Nginx、Flask 等)中的應用而言，這一緩解措施就會無效，從而導致容易受到攻擊。“基本上，攻擊者所要做的就是從目標應用程序中獲取"/.git"目錄，并檢索其源代碼。”

影響范圍包括：

• 自 2017 年 9 月起，在 Azure 應用服務中使用“Local Git”部署的所有 PHP、Node、Ruby 和 Python 應用。
• 自 2017 年 9 月起，在應用容器中創(chuàng)建或修改文件后，使用 Git 源代碼部署在 Azure 應用服務中的所有 PHP、Node、Ruby 和 Python 應用。

對此，Microsoft 安全響應中心在一份公告中回應稱，Wiz 報告的這一問題導致客戶可能會無意中配置要在內容根目錄中創(chuàng)建的 .git 文件夾，從而使他們面臨信息泄露的風險。

“這與配置為提供靜態(tài)內容的應用程序結合使用時，會使得其他人可以下載不打算公開的文件。我們已經通知了我們認為因此而面臨風險的有限的一部分客戶，我們將繼續(xù)與我們的客戶合作，確保他們的應用程序的安全。”

Customer Impact：

• 在內容根目錄中創(chuàng)建或修改文件后使用 Local Git 部署應用程序的 App Service Linux 客戶會受到影響。
• PHP、Node、Python、Ruby 和 Java 應用程序編碼以提供靜態(tài)內容：PHP：用于 PHP 運行時的圖像被配置為在內容根文件夾中提供所有靜態(tài)內容。微軟方面已經更新了所有 PHP 圖像，禁止將 .git 文件夾作為靜態(tài)內容提供，作為縱深防御措施。Node、Python、Java 和 Ruby：對于這些語言，由于應用程序代碼控制它是否提供靜態(tài)內容，微軟建議客戶檢查代碼，以確保只有相關的代碼被提供出來。

不過，并非所有 Local Git 用戶都受到了影響。在應用程序中創(chuàng)建文件后，通過 Local Git 將代碼部署到 App Service Linux 的用戶是唯一受影響人群。且 Azure App Service Windows 不受影響，因為它在基于 IIS 的環(huán)境中運行。

微軟為此采取的具體解決措施為：

• 更新了所有 PHP 圖像以禁止將 .git 文件夾作為靜態(tài)內容提供，作為縱深防御措施。
• 通知因激活本地部署而受到影響的客戶，并提供有關如何緩解問題的具體指導。還通知了將 .git 文件夾上傳到內容目錄的客戶。
• 更新了安全建議文檔，增加了有關保護源代碼的部分。同時更新了本地部署的文檔。

由于報告了這一漏洞，Wiz 方面還獲得了來自微軟的 7500 美元賞金，但該公司計劃將這筆資金捐獻出去。