Sekuriteitspesialis Wiz waarsku oor 'n kwesbaarheid in Microsoft se Azure App Service. Die kwesbaarheid ontbloot honderde bronkode-bewaarplekke. Microsoft het sedertdien die lekkasie reggemaak.
Wiz het die sogenaamde NotLegit-kwesbaarheid in Azure App Service ontdek. Die diens, ook bekend as Azure Web Apps, is 'n platform om webwerwe en webgebaseerde toepassings te huisves. Bronkode en artefakte kan na Azure App Service opgelaai word deur die Local Git-nutsding te gebruik. Gebruikers kan 'n Local Git-bewaarplek opstel met die Azure App Service-houer en die kode direk na die bediener stoot.
Volgens die navorsers is dit juis waar die kwesbaarheid lê. Wanneer Local Git gebruik word om die kode na die Azure App Service uit te rol, is die git-bewaarplek opgestel met 'n publiek toeganklike gids waartoe almal toegang het.
Verskeie kodetale geraak
Veral bronkode geskryf in PHP, Python, Ruby of Node is kwesbaar. Dit is deels omdat hierdie kodetale dikwels webbedieners soos Apache, Nginx en Flask gebruik. Hierdie webbedieners kan nie web.config-lêers hanteer nie. Dit laat publieke toegang tot genoemde bronkodebewaarplekke toe.
Bekend aan Microsoft
Die sekuriteitspesialiste by Wiz het Microsoft reeds aan die begin van Oktober vanjaar van die kwesbaarheid ingelig. Microsoft het dit sedertdien gesluit. Die kenners doen in elk geval 'n beroep op gebruikers om te kyk of hul bronkode geopenbaar is en om op te tree vir hul toepassings.