Ο ειδικός ασφαλείας Wiz προειδοποιεί για μια ευπάθεια στην υπηρεσία Azure App της Microsoft. Η ευπάθεια εκθέτει εκατοντάδες αποθετήρια πηγαίου κώδικα. Η Microsoft έκτοτε επιδιορθώνει τη διαρροή.
Η Wiz ανακάλυψε τη λεγόμενη ευπάθεια NotLegit στην υπηρεσία Azure App Service. Η υπηρεσία, επίσης γνωστή ως Azure Web Apps, είναι μια πλατφόρμα για τη φιλοξενία ιστοσελίδων και εφαρμογών που βασίζονται στο web. Ο πηγαίος κώδικας και τα τεχνουργήματα μπορούν να μεταφορτωθούν στην υπηρεσία Azure App Service χρησιμοποιώντας το εργαλείο Local Git. Οι χρήστες μπορούν να δημιουργήσουν ένα αποθετήριο Local Git με το κοντέινερ της υπηρεσίας εφαρμογής Azure και να προωθήσουν τον κώδικα απευθείας στον διακομιστή.
Σύμφωνα με τους ερευνητές, εδώ ακριβώς βρίσκεται η ευπάθεια. Κατά τη χρήση του Local Git για τη διάδοση του κώδικα στην υπηρεσία Azure App Service, το αποθετήριο git δημιουργήθηκε με έναν δημόσια προσβάσιμο κατάλογο στον οποίο μπορούν να έχουν πρόσβαση όλοι.
Πολλές γλώσσες κώδικα επηρεάζονται
Ειδικά ο πηγαίος κώδικας γραμμένος σε PHP, Python, Ruby ή Node είναι ευάλωτος. Αυτό οφείλεται εν μέρει στο ότι αυτές οι γλώσσες κώδικα χρησιμοποιούν συχνά διακομιστές ιστού όπως Apache, Nginx και Flask. Αυτοί οι διακομιστές ιστού δεν μπορούν να χειριστούν αρχεία web.config. Αυτό επιτρέπει τη δημόσια πρόσβαση στα εν λόγω αποθετήρια πηγαίου κώδικα.
Γνωστό στη Microsoft
Οι ειδικοί ασφαλείας της Wiz ενημέρωσαν ήδη τη Microsoft για την ευπάθεια στις αρχές Οκτωβρίου του τρέχοντος έτους. Η Microsoft το έκλεισε από τότε. Σε κάθε περίπτωση, οι ειδικοί προτρέπουν τους χρήστες να ελέγξουν αν έχει αποκαλυφθεί ο πηγαίος κώδικας τους και να λάβουν μέτρα για τις εφαρμογές τους.