マイクロソフトは、2017年9月以降のAzureウェブアプリのソースコードが公開するバグにより影響を受けた一部のAzureユーザに通知を行ったと発表しました。
MSRCは、クラウドセキュリティベンダーであるWiz.io社からCoordinated Vulnerability Disclosure (CVD)により、顧客が意図せずにコンテンツルートに.gitフォルダを作成するように設定してしまい、情報漏えいの危険性があるという問題を指摘を受けました。静的コンテンツを提供するように設定されたアプリケーションと組み合わせると、公開を意図していないファイルを他人がダウンロードすることが可能になります。私たちは、この問題でリスクがあると思われる限られた一部のお客様に通知し、お客様のアプリケーションの安全性を確保するためにお客様と協力していきます。
この脆弱性は、クラウドセキュリティ企業のWizによって発見され、2021年9月にマイクロソフトに報告されました。この問題は11月に修正されましたが、マイクロソフトはこの間にどれだけの顧客が影響を受けたかを調査しています。
脆弱性がAzureのウェブサイトホスティング機能に影響
「NotLegit」という愛称で呼ばれるこの脆弱性は、Azureクラウドの機能であるAzure App Serviceに存在し、顧客はソースコードリポジトリからWebサイトやWebアプリを展開することができるというものです。
Wizの研究者によると、Azureの顧客が「ローカルGit」オプションを選択して、同じAzureサーバーにホストされているGitリポジトリからウェブサイトをデプロイした状況においてソースコードもオンラインで公開されていたとのことです。
この方法でデプロイされたすべてのPHP、Node、Ruby、Pythonのアプリケーションが影響を受けたと、Microsoft社はブログ記事で述べています。影響を受けたのは、LinuxベースのAzureサーバー上にデプロイされたアプリケーションのみで、Windows Serverシステム上にホストされているアプリケーションは影響を受けませんでした。
2013年までさかのぼってデプロイされたアプリが影響を受けましたが、データ流出はAzureのシステムに脆弱性が導入された2017年9月から始まったと、Wizチームはレポートで述べています。
Wizリサーチチームは、Azure App Serviceの安全でないデフォルトの動作により、「Local Git」を使用してデプロイされた、PHP、Python、Ruby、Nodeで書かれた顧客アプリケーションのソースコードが公開されることを発見しました。私たちが「NotLegit」と名付けたこの脆弱性は、2017年9月から存在しており、おそらく実世界で悪用されています。
Wizは、2021年10月7日にこのセキュリティ欠陥をMicrosoftに報告し、現在までに修正されています。小規模なグループのお客様はまだ潜在的にさらされており、マイクロソフトが2021年12月7日~15日の間に発行したいくつかの電子メールアラートに詳述されているように、アプリケーションを保護するために特定のユーザーアクションを取る必要があります。
脆弱性が悪用された可能性が高い
最も危険な公開シナリオは、公開されたソースコードに.git設定ファイルが含まれており、そのファイル自体に、データベースやAPIなどの他の顧客システムのパスワードやアクセストークンが含まれていた状況としています。
過去10年間、複数のボットネットがインターネット上で誤って公開された.gitファイルを常にスキャンしており、その内容によって攻撃者がより価値の高い企業インフラストラクチャにアクセスできることを知っていました。
Wiz社のリサーチ部門責任者であるShir Tamari氏は、この脆弱性が間接的に利用された可能性が非常に高いと考えていると語っています。
Tamari氏は、テストのために安全でないAzureホストのWebサイトを作成し、4時間の間に5人の異なる攻撃者が公開されたソースコードと.git設定ファイルにアクセスするのを確認したと述べています。
Comments