يحذر متخصص الأمان Wiz من وجود ثغرة أمنية في خدمة تطبيقات Azure من Microsoft. تكشف الثغرة الأمنية مئات من مستودعات كود المصدر. قامت Microsoft منذ ذلك الحين بتصحيح التسريب.
اكتشف Wiz ما يسمى بالثغرة الأمنية NotLegit في Azure App Service. الخدمة ، المعروفة أيضًا باسم Azure Web Apps ، عبارة عن نظام أساسي لاستضافة مواقع الويب والتطبيقات المستندة إلى الويب. يمكن تحميل التعليمات البرمجية المصدر والقطع الأثرية إلى Azure App Service باستخدام أداة Local Git. يمكن للمستخدمين إعداد مستودع Git المحلي باستخدام حاوية خدمة تطبيقات Azure ودفع الرمز مباشرةً إلى الخادم.
وفقًا للباحثين ، هذا هو بالضبط مكان الضعف. عند استخدام Local Git لطرح الكود في Azure App Service ، تم إعداد مستودع git بدليل يمكن للجميع الوصول إليه ويمكن للجميع الوصول إليه.
تأثرت العديد من لغات التعليمات البرمجية
تكون شفرة المصدر المكتوبة بلغة PHP أو Python أو Ruby أو Node على وجه الخصوص عرضة للخطر. هذا جزئيًا لأن لغات الشفرة هذه غالبًا ما تستخدم خوادم الويب مثل Apache و Nginx و Flask. لا تستطيع خوادم الويب هذه معالجة ملفات web.config. يسمح هذا للجمهور بالوصول إلى مستودعات كود المصدر المذكورة.
معروف لدى Microsoft
أعلم المتخصصون الأمنيون في Wiz شركة Microsoft بالثغرة الأمنية في بداية شهر أكتوبر من هذا العام. وقد أغلقته مايكروسوفت منذ ذلك الحين. على أي حال ، يحث الخبراء المستخدمين على التحقق مما إذا تم الكشف عن شفرة المصدر الخاصة بهم واتخاذ إجراءات بشأن تطبيقاتهم.