Специалистът по сигурността Wiz предупреждава за уязвимост в услугата за приложения на Microsoft Azure. Уязвимостта разкрива стотици хранилища с изходен код. Оттогава Microsoft коригира изтичането.
Wiz откри така наречената уязвимост NotLegit в Azure App Service. Услугата, известна още като Azure Web Apps, е платформа за хостване на уебсайтове и уеб-базирани приложения. Изходният код и артефактите могат да бъдат качени в услугата за приложения на Azure с помощта на инструмента Local Git. Потребителите могат да настроят локално Git хранилище с контейнера на Azure App Service и да изпратят кода директно към сървъра.
Според изследователите именно в това се крие уязвимостта. Когато използвате Local Git за разгръщане на кода в услугата за приложения на Azure, хранилището на git е настроено с публично достъпна директория, до която всеки има достъп.
Засегнати са няколко кодови езика
Особено уязвим е изходният код, написан на PHP, Python, Ruby или Node. Това отчасти се дължи на факта, че тези кодови езици често използват уеб сървъри като Apache, Nginx и Flask. Тези уеб сървъри не могат да обработват файлове web.config. Това позволява публичен достъп до споменатите хранилища с изходен код.
Известен на Microsoft
Специалистите по сигурността в Wiz вече информираха Microsoft за уязвимостта в началото на октомври тази година. Оттогава Microsoft го затвори. Във всеки случай, експертите призовават потребителите да проверят дали техният изходен код е разкрит и да предприемат действия за своите приложения.