Sikkerhedsspecialist Wiz advarer om en sårbarhed i Microsofts Azure App Service. Sårbarheden afslører hundredvis af kildekodedepoter. Microsoft har siden rettet lækagen.
Wiz opdagede den såkaldte NotLegit-sårbarhed i Azure App Service. Tjenesten, også kendt som Azure Web Apps, er en platform til hosting af websteder og webbaserede applikationer. Kildekode og artefakter kan uploades til Azure App Service ved hjælp af Local Git-værktøjet. Brugere kan konfigurere et lokalt Git-lager med Azure App Service-containeren og skubbe koden direkte til serveren.
Ifølge forskerne er det netop her, sårbarheden ligger. Når du brugte Local Git til at udrulle koden til Azure App Service, blev git-lageret sat op med en offentligt tilgængelig mappe, som alle kan få adgang til.
Flere kodesprog påvirket
Især kildekode skrevet i PHP, Python, Ruby eller Node er sårbar. Dette skyldes blandt andet, at disse kodesprog ofte bruger webservere som Apache, Nginx og Flask. Disse webservere kan ikke håndtere web.config-filer. Dette giver offentlig adgang til nævnte kildekodelagre.
Kendt af Microsoft
Sikkerhedsspecialisterne hos Wiz informerede allerede Microsoft om sårbarheden i begyndelsen af oktober i år. Microsoft har siden lukket det. Under alle omstændigheder opfordrer eksperterne brugerne til at tjekke, om deres kildekode er blevet afsløret, og til at handle for deres applikationer.