NotLegit ranjivost Usluga Azure aplikacija čini izvorni kod javnim

Stručnjak za sigurnost Wiz upozorava na ranjivost u Microsoftovoj usluzi Azure App Service. Ranjivost otkriva stotine spremišta izvornog koda. Microsoft je od tada zakrpio curenje.

Wiz je otkrio takozvanu NotLegit ranjivost u Azure App Service. Usluga, poznata i kao Azure Web Apps, je platforma za hostovanje web stranica i aplikacija zasnovanih na webu. Izvorni kod i artefakti mogu se prenijeti na Azure App Service pomoću alata Local Git. Korisnici mogu postaviti lokalno Git spremište sa Azure App Service kontejnerom i poslati kod direktno na server.

Prema istraživačima, upravo tu leži ranjivost. Kada koristite Lokalni Git za uvođenje koda u Azure App Service, git spremište je postavljeno sa javno dostupnim direktorijumom kojem svi mogu pristupiti.

Pogođeno je nekoliko kodnih jezika

Posebno je ranjiv izvorni kod napisan u PHP-u, Python-u, Ruby-u ili Nodeu. To je dijelom zato što ovi jezici koda često koriste web servere kao što su Apache, Nginx i Flask. Ovi web serveri ne mogu rukovati web.config datotekama. Ovo omogućava javni pristup navedenim repozitorijumima izvornog koda.

Poznato Microsoftu

Stručnjaci za sigurnost u Wizu već su obavijestili Microsoft o ranjivosti početkom oktobra ove godine. Microsoft ga je od tada zatvorio. U svakom slučaju, stručnjaci pozivaju korisnike da provjere da li je njihov izvorni kod otkriven i da poduzmu mjere za svoje aplikacije.