Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩

4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories

202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。

この、情報漏えいの脆弱性は、コードネーム NotLegit と呼ばれ、2021年10月7日にService Wiz の研究者から Microsoft に対して報告された後の、2021年11月に修正のための緩和策が実施された。Microsoft は、「影響を受けるのは、限られたサブセットの顧客である。アプリケーション内にファイルが作成された後に、Local Git を介して App Service Linux にコードをデプロイした顧客だけが、影響を受けることになる」と述べている。

Azure App Service (別名:Azure Web Apps) は、クラウド・コンピューティングをベースとした、We bアプリケーションの構築とホスティングのためのプラットフォームである。ユーザーは、ローカルの Git リポジトリ、または。GitHub や Bitbucket でホストされているリポジトリを使用して、ソースコードやアーティファクトを対象サービスにデプロイできる。

今回の問題である、安全ではないとされるデフォルトの動作は、Azure App Service へのデプロイにおいて、ローカル Git メソッドを使用した場合に発生し、一般にアクセス可能なディレクトリ (home/site/wwwroot) 内に、Git リポジトリが作成されるというシナリオになる。

Microsoft は、リポジトリの状態と履歴を格納する web.config ファイルを “/.git ” フォルダに追加し、一般からのアクセスを制限している。しかし、このコンフィグレーション・ファイルは、Microsoft の IIS Web サーバーに依存する C# または ASP.NET アプリケーションでのみ使用される。したがって、Apache/Nginx/Flask などの Web サーバーでデプロイされる、PHP/Ruby/Python/Node などの言語でコーディングされたアプリケーションは除外される。

Wiz の研究者である Shir Tamari は、「基本的に、悪意のアクターがすべきことは、対象となるアプリケーションの “/.git ” ディレクトリを取得し、そのソースコードを取得することだ。それらのソースには、パスワードやアクセストークンなどの機密情報が含まれている可能性があり、また、流出したソースコードは高度な攻撃に利用される可能性が高い。ソフトウェアの脆弱性を見つけることは、ソースコードが利用可能であれば、きわめて容易になる」と述べている。

Microsoft Azure に関する問題ですが、11月11日の「Black Hat Europe:Microsoft Azure Cosmos DB はカオスだという話」や、11月18日の「Microsoft Azure AD の深刻な脆弱性 CVE-2021-42306 がユーザーに通知される」などの記事があり、クラウドのセキュリティって、こんなものなのかと思ってしまいます。今回の問題についても、IIS Web サーバーに依存する C# または ASP.NET アプリケーションだけが保護され、Apache/Nginx/Flask などの Web サーバーでデプロイされる、PHP/Ruby/Python/Node などの言語でコーディングされたアプリケーションは除外されるという、バグでは片付けられない原因があるようです。Microsoft からのコメントが、続報として報じられるのを待ちたいと思います。

%d bloggers like this: