Спецыяліст па бяспецы Wiz папярэджвае аб уразлівасці ў службе прыкладанняў Microsoft Azure. Уразлівасць адкрывае сотні сховішчаў зыходнага кода. З тых часоў Microsoft ліквідавала ўцечку.
Wiz выявіў так званую ўразлівасць NotLegit у службе прыкладанняў Azure. Сэрвіс, таксама вядомы як Azure Web Apps, уяўляе сабой платформу для размяшчэння вэб-сайтаў і вэб-прыкладанняў. Зыходны код і артэфакты можна загрузіць у службу прыкладанняў Azure з дапамогай інструмента Local Git. Карыстальнікі могуць наладзіць лакальнае сховішча Git з кантэйнерам службы прыкладанняў Azure і накіраваць код непасрэдна на сервер.
На думку даследчыкаў, менавіта ў гэтым і крыецца ўразлівасць. Пры выкарыстанні лакальнага Git для разгортвання кода ў службе прыкладанняў Azure сховішча git было створана з агульнадаступным каталогам, да якога кожны можа атрымаць доступ.
Пацярпела некалькі моў кода
Асабліва ўразлівы зыходны код, напісаны на PHP, Python, Ruby або Node. Часткова гэта адбываецца таму, што гэтыя мовы кода часта выкарыстоўваюць вэб-серверы, такія як Apache, Nginx і Flask. Гэтыя вэб-серверы не могуць апрацоўваць файлы web.config. Гэта дае адкрыты доступ да згаданых сховішчаў зыходнага кода.
Вядомы Microsoft
Спецыялісты па бяспецы ў Wiz ужо паведамілі Microsoft пра ўразлівасць у пачатку кастрычніка гэтага года. З тых часоў Microsoft закрыла яго. У любым выпадку эксперты заклікаюць карыстальнікаў праверыць, ці быў выяўлены іх зыходны код, і прыняць меры для сваіх прыкладанняў.