Azure App 서비스의 4년 된 버그, 소스코드 저장소 수백 곳 노출시켜

4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories

 

마이크로소프트의 Azure App Service에서 2017년 9월 이후 최소 4년 동안 Java, Node, PHP, Python, Ruby로 작성된 고객 애플리케이션의 소스코드를 노출시킨 보안 취약점이 발견되었습니다.

 

코드명 "NotLegit"인 이 취약점은 2021년 10월 7일 Wiz 연구원이 발견해 제보했으며, 11월 해당 정보 공개 버그를 수정하기 위한 완화 작업이 시작되었습니다.

 

마이크로소프트는 "제한된 고객"이 위험에 처해 있다고 밝히며 "애플리케이션에서 이미 파일이 생성된 후 로컬 Git을 통해 앱 서비스 리눅스에 코드를 배포한 고객은 이에 영향을 받는다”고 설명했습니다.

 

Azure App Service(Azure Web Apps)는 웹 응용 프로그램을 빌드하고 호스팅하는 클라우드 컴퓨팅 기반 플랫폼입니다. 사용자는 이를 통해 로컬 Git 리포지토리를 사용하거나 GitHub 및 Bitbucket에서 호스팅되는 리포지토리를 통해 서비스에 소스코드 및 아티팩트를 배포할 수 있습니다.

 

 

<이미지 출처 : https://www.wiz.io/blog/azure-app-service-source-code-leak>

 

 

안전하지 않은 기본 동작이 로컬 Git 메서드를 사용하여 Azure App Service에 배포할 때 발생하기 때문에, 공개적으로 접근이 가능한 디렉터리(home/site/wwwroot) 내에 Git 리포지토리가 생성되는 경우가 발생합니다.

 

또 마이크로소프트는 공개 액세스를 제한하기 위해 리포지토리의 상태 및 기록이 포함된 .git 폴더에 "web.config" 파일을 추가하지만, 해당 구성 파일은 Microsoft의 자체 IIS 웹 서버에 의존하는 C# 또는 ASP.NET 응용 프로그램에서만 사용되며 Apache, Nginx, Flask와 같은 다른 웹 서버와 함께 배포되는 PHP, Ruby, Python, Node와 같은 다른 프로그래밍 언어로 코딩된 앱을 제외합니다.

 

Wiz 연구원인 Shir Tamari는 아래와 같이 설명했습니다.

 

"공격자가 해야할 일은 타깃 애플리케이션에서 '/.git' 디렉터리를 가져와 소스코드를 검색하는 것뿐이었습니다."

 

"공격자들은 기밀 및 지적 재산을 수집할 수 있는 노출된 Git 폴더를 찾기 위해 인터넷을 지속적으로 스캔하고 있습니다. 소스에 비밀번호 및 액세스 토큰과 같은 기밀이 포함될 가능성이 있으며, 유출된 소스코드는 더욱 정교한 공격에 사용되기도 합니다."

 

"소스코드를 손에 넣을 경우 소프트웨어의 취약점을 찾는 일은 훨씬 쉬워집니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/12/4-year-old-bug-in-azure-app-service.html

https://msrc-blog.microsoft.com/2021/12/22/azure-app-service-linux-source-repository-exposure/

https://www.wiz.io/blog/azure-app-service-source-code-leak