Bezpečnostní specialista Wiz varuje před zranitelností v Azure App Service společnosti Microsoft. Tato chyba zabezpečení odhaluje stovky úložišť zdrojového kódu. Microsoft od té doby únik opravil.
Wiz objevil takzvanou zranitelnost NotLegit v Azure App Service. Služba, známá také jako Azure Web Apps, je platforma pro hostování webů a webových aplikací. Zdrojový kód a artefakty lze nahrát do Azure App Service pomocí nástroje Local Git. Uživatelé mohou nastavit místní úložiště Git pomocí kontejneru Azure App Service a poslat kód přímo na server.
Podle výzkumníků právě v tom spočívá zranitelnost. Při použití Local Git k zavedení kódu do Azure App Service bylo úložiště git nastaveno s veřejně přístupným adresářem, ke kterému má přístup každý.
Postiženo několik kódovacích jazyků
Zranitelný je zejména zdrojový kód napsaný v PHP, Pythonu, Ruby nebo Node. Je to částečně proto, že tyto kódové jazyky často používají webové servery, jako jsou Apache, Nginx a Flask. Tyto webové servery nemohou zpracovávat soubory web.config. To umožňuje veřejný přístup k uvedeným úložištím zdrojového kódu.
Známé společnosti Microsoft
Bezpečnostní specialisté ze společnosti Wiz již Microsoft o zranitelnosti informovali na začátku října tohoto roku. Microsoft to mezitím uzavřel. V každém případě odborníci nabádají uživatele, aby zkontrolovali, zda byl odhalen jejich zdrojový kód, a podnikli kroky pro své aplikace.