El especialista en seguridad Wiz advierte sobre una vulnerabilidad en Azure App Service de Microsoft. La vulnerabilidad expone cientos de repositorios de código fuente. Desde entonces, Microsoft ha reparado la fuga.
Wiz descubrió la llamada vulnerabilidad NotLegit en Azure App Service. El servicio, también conocido como Azure Web Apps, es una plataforma para alojar sitios web y aplicaciones basadas en web. El código fuente y los artefactos se pueden cargar en Azure App Service mediante la herramienta Local Git. Los usuarios pueden configurar un repositorio Git local con el contenedor de Azure App Service y enviar el código directamente al servidor.
Según los investigadores, ahí es precisamente donde radica la vulnerabilidad. Al usar Local Git para implementar el código en Azure App Service, el repositorio de git se configuró con un directorio de acceso público al que todos pueden acceder.
Varios lenguajes de código afectados
Especialmente el código fuente escrito en PHP, Python, Ruby o Node es vulnerable. Esto se debe en parte a que estos lenguajes de código suelen utilizar servidores web como Apache, Nginx y Flask. Estos servidores web no pueden manejar archivos web.config. Esto permite el acceso público a dichos repositorios de código fuente.
Conocido por Microsoft
Los especialistas en seguridad de Wiz ya informaron a Microsoft de la vulnerabilidad a principios de octubre de este año. Desde entonces, Microsoft lo ha cerrado. En cualquier caso, los expertos instan a los usuarios a verificar si su código fuente ha sido revelado y tomar medidas para sus aplicaciones.