Sicherheitsspezialist Wiz warnt vor einer Schwachstelle in Microsofts Azure App Service. Die Schwachstelle legt Hunderte von Quellcode-Repositories offen. Microsoft hat das Leck inzwischen gepatcht.
Wiz hat die sogenannte NotLegit-Schwachstelle in Azure App Service entdeckt. Der Dienst, auch bekannt als Azure Web Apps, ist eine Plattform zum Hosten von Websites und webbasierten Anwendungen. Quellcode und Artefakte können mit dem lokalen Git-Tool in Azure App Service hochgeladen werden. Benutzer können ein lokales Git-Repository mit dem Azure App Service-Container einrichten und den Code direkt auf den Server übertragen.
Genau hier liegt laut den Forschern die Schwachstelle. Bei der Verwendung von Local Git zur Einführung des Codes in Azure App Service wurde das Git-Repository mit einem öffentlich zugänglichen Verzeichnis eingerichtet, auf das jeder zugreifen kann.
Mehrere Codesprachen betroffen
Besonders in PHP, Python, Ruby oder Node geschriebener Quellcode ist anfällig. Dies liegt unter anderem daran, dass diese Codesprachen häufig Webserver wie Apache, Nginx und Flask verwenden. Diese Webserver können keine web.config-Dateien verarbeiten. Dies ermöglicht den öffentlichen Zugriff auf die Quellcode-Repositories.
Microsoft bekannt
Die Sicherheitsspezialisten von Wiz haben Microsoft bereits Anfang Oktober dieses Jahres über die Schwachstelle informiert. Microsoft hat es inzwischen geschlossen. In jedem Fall fordern die Experten die Nutzer auf, zu überprüfen, ob ihr Quellcode offengelegt wurde, und Maßnahmen für ihre Anwendungen zu ergreifen.