簡介
近日， Wiz 的一項安全研究分析揭露，Microsoft Azure 應用服務存在一個長達四年的漏洞，會暴露由 Local Git 所部屬的 Web 應用程式源代碼，如 PHP、Python、Ruby及 Node。此漏洞被稱為 NotLegit，已確定被廣泛利用，且從 2017 年 9 月以來就一直存在。

Azure 應用服務（Azure App Service）是一個基於雲計算的平台，用於託管網站或網絡應用。本地 Git 允許開發人員在 Azure 應用服務容器內啟動本地 Git 存儲庫，以便將代碼直接部署到伺服器。部署後互聯網上的任何人都可以在 *.azurewebsites.net 域下訪問該應用程序。

 

漏洞描述
問題點在於使用本地 Git 時， Git 文件夾也會在未打補丁的系統上上傳和公開訪問； 它放在“/home/site/wwwroot”目錄中，任何人都可以訪問。源代碼外洩可能導致密碼及存取權杖曝光，或是被用於更複雜的攻擊，如收集研發部門的情報或是尋找軟件的漏洞。

 

及早更新
微軟已修復此漏洞，以下用戶也應評估潛在風險，並盡快更新系統：

1. 通過 FTP 或 Web Deploy 或 Bash/SSH 部署代碼，導致文件在任何 git 部署前在 Web 應用程序中初始化的用戶

2. 在 Web 應用程序上啟用 LocalGit 的用戶

參考資料：
https://threatpost.com/microsoft-azure-zero-day-source-code/177270/