NotLegit-Sicherheitslücke Azure App Service macht Quellcode öffentlich

Sicherheitsspezialist Wiz warnt vor einer Schwachstelle in Microsofts Azure App Service. Die Sicherheitslücke legt Hunderte von Quellcode-Repositorys offen. Microsoft hat das Leck inzwischen gepatcht.

Wiz hat die sogenannte NotLegit-Sicherheitslücke in Azure App Service entdeckt. Der Service, auch bekannt als Azure Web Apps, ist eine Plattform zum Hosten von Websites und webbasierten Anwendungen. Quellcode und Artefakte können mit dem Local Git-Tool in Azure App Service hochgeladen werden. Benutzer können ein lokales Git-Repository mit dem Azure App Service-Container einrichten und den Code direkt auf den Server übertragen.

Nach Angaben der Forscher, Genau hier liegt die Schwachstelle. Bei Verwendung von Local Git zum Ausrollen des Codes in Azure App Service, das Git-Repository wurde mit einem öffentlich zugänglichen Verzeichnis eingerichtet, auf das jeder zugreifen kann.

Mehrere Codesprachen betroffen

Insbesondere in PHP geschriebener Quellcode, Python, Ruby oder Node ist anfällig. Dies liegt zum Teil daran, dass diese Codesprachen häufig Webserver wie Apache verwenden, Nginx und Flask. Diese Webserver können keine web.config-Dateien verarbeiten. Dies ermöglicht den öffentlichen Zugriff auf die Quellcode-Repositorys.

Microsoft bekannt

Die Sicherheitsspezialisten von Wiz haben Microsoft bereits Anfang Oktober dieses Jahres über die Schwachstelle informiert. Microsoft hat es inzwischen geschlossen. Auf jeden Fall, Die Experten fordern die Benutzer auf, zu überprüfen, ob ihr Quellcode offengelegt wurde, und Maßnahmen für ihre Anwendungen zu ergreifen.