ASP.NET JSON配置檔洩露Azure AD憑證 駭客可偽裝應用入侵雲端
回到上一頁

ASP.NET JSON配置檔洩露Azure AD憑證 駭客可偽裝應用入侵雲端

2025-09-03
資安研究團隊Resecurity的HUNTER小組近日發現,一家公司的ASP.NET Core應用程式配置檔(appsettings.json)公開暴露在網際網路上,洩露Azure Active Directory(Azure AD)憑證,包括Client Id及Client Secret。這類高嚴重度洩露讓駭客能透過Microsoft的OAuth 2.0端點直接驗證,偽裝成受信任應用程式,潛入Azure雲端環境,竊取敏感資料或提升權限。雖然受影響公司已修補漏洞,但此事件凸顯雲端配置錯誤的普遍風險,專家呼籲企業加強秘密管理,台灣雲端用戶需警惕類似威脅。
 
Resecurity在9月1日發布的部落格文章中指出,此配置檔公開存取意味著任何人都能—從機會主義機器人到先進威脅行為者—蒐集憑證,並立即用於雲端帳戶入侵、資料竊取或進一步滲透。文章強調:「appsettings.json檔案公開暴露Azure AD秘密不僅是配置錯誤,更是直接將雲端鑰匙交給對手的攻擊向量。」HUNTER研究員表示,憑證在手,駭客可從SharePoint、OneDrive或Exchange Online擷取敏感資料;列舉Azure AD中的用戶、群組及目錄角色;濫用Graph API進行權限提升或持久化;甚至在組織租戶下部署惡意應用程式。
 
 
appsettings.json是ASP.NET Core應用的核心配置檔,於運行時自動載入,儲存應用運作所需的重要資料。該檔案常包含資料庫連接字串(如SQL Server、MySQL、PostgreSQL、MongoDB);第三方整合的API金鑰及權杖(如支付閘道、電子郵件提供者、地圖服務);雲端平台憑證(如Azure、AWS或Google Cloud Platform);以及Azure AD驗證細節,如ClientId、TenantId、RedirectUri等。研究員形容:「appsettings.json本質上是應用運作藍圖,不僅指示應用連接何處(資料庫、API、雲端服務),還可能包含驗證所需憑證。」在雲端環境中,此檔案若公開,駭客可輕易利用。
 
 
利用此漏洞的步驟相當直接:駭客先使用洩露的ClientId及ClientSecret,透過OAuth 2.0的Client Credentials流程驗證Azure AD,獲取存取權杖。取得權杖後,即可發送GET請求至Microsoft Graph API,列舉租戶內用戶,蒐集使用者名稱及電子郵件;建立密碼噴灑或釣魚清單;或識別命名慣例及內部帳戶。進一步,駭客可查詢Graph API以列舉OAuth 2.0權限授予,揭露授權應用及其範圍(permissions)。權杖亦允許使用群組資訊識別權限叢集及業務關鍵團隊,暴露組織結構並鎖定高價值目標。文章指出:「高價值群組如全球管理員是關鍵目標,因為入侵一員即可獲取全租戶控制。」
 
 
此類秘密暴露是雲端環境常見的配置錯誤,雲端架構師常忽略其嚴重後果。研究顯示,開發者常將敏感值(如ClientId、ClientSecret、儲存金鑰或資料庫密碼)直接置入appsettings.json等配置檔,而非使用安全儲存機制。在本地環境無礙,但雲端更敏感,因可能發生網際網路面向伺服器配置錯誤、不當部署實務,或未使用Azure Key Vault、AWS Secrets Manager等安全金庫保護秘密,反而以明文硬編碼。HUNTER團隊警告:「看似無害的JSON配置檔,實為組織雲端王國的萬能鑰匙。公開appsettings.json,等於無意中將直接存取權杖交給駭客—可解鎖Azure AD身分、Microsoft Graph資料、儲存帳戶,甚至高權限管理功能。」
 
 
若組織未定期掃描、滲透測試或程式碼審核,此類暴露雲端檔案可能長期未察覺,直至駭客發現並利用。開發團隊常低估檔案隱匿性,忽略駭客持續爬取網站、使用dirsearch等工具,或掃描GitHub儲存庫尋找洩露。Resecurity研究呼籲,組織應遵循最佳實務:限制檔案存取;從程式碼及配置檔移除秘密;立即輪換暴露憑證;強制最小權限原則;並設定憑證使用監控及警報。文章建議,使用Azure Key Vault等工具儲存秘密,並整合Azure Monitor或Microsoft Sentinel等SIEM系統,自動偵測異常活動。
 
 
台灣資安專家分析,此事件對本土企業影響深遠。Azure及Microsoft 365在台灣廣泛應用於雲端轉型,許多公司使用ASP.NET Core開發應用。若配置錯誤,駭客可輕易入侵,導致資料外洩或合規違規。行政院國家資通安全會報表示,將監測類似雲端洩露事件,並呼籲企業審核Azure AD配置,使用安全金庫管理秘密。趨勢科技台灣區總經理洪偉淦受訪時指出:「Azure AD憑證洩露是供應鏈攻擊常見入口,台灣企業須實施零信任架構,定期掃描公開檔案,並啟用多因素認證(MFA)。開發者應避免明文儲存憑證,轉用環境變數或金庫。」他強調,台灣作為科技樞紐,易遭國家級APT或網路犯罪集團鎖定,企業若忽視,可能面臨巨額罰款或業務中斷。
 
 
此洩露與近期資安趨勢呼應,如CISA、FBI及NSA警告中國「全球間諜系統」鎖定網路裝置、逾千開發者遭AI輔助供應鏈攻擊洩露20,000檔案,顯示雲端及配置錯誤成熱點。Resecurity事件提醒,雲端安全僅如其最弱暴露檔案堅固。雖然受影響公司已關閉漏洞,但全球企業需借鏡,強化秘密管理。展望未來,隨著AI及雲端整合加速,此類攻擊將更頻繁。台灣政府可推動雲端資安指引,強制使用Key Vault等工具。用戶防範之道包括:定期滲透測試、監控Graph API呼叫、輪換憑證。平衡便利與安全,防範Azure秘密暴露刻不容緩。