NotLegit Vulnerability Azure App Service-k iturburu-kodea publiko egiten du

Wiz segurtasun espezialistak Microsoft-en Azure App Service-n ahultasun bat dela ohartarazi du. Ahultasunak ehunka iturburu-kode biltegi agerian uzten ditu. Microsoft-ek filtrazioa adabaki du geroztik.

Wiz-ek NotLegit ahultasuna deritzona aurkitu zuen Azure App Service-n. Zerbitzua, Azure Web Apps izenez ere ezaguna, webguneak eta web-oinarritutako aplikazioak ostatatzeko plataforma bat da. Iturburu-kodea eta artefaktuak Azure App Service-ra karga daitezke Local Git tresna erabiliz. Erabiltzaileek Tokiko Git biltegi bat konfigura dezakete Azure App Service edukiontziarekin eta kodea zuzenean zerbitzarira bidali.

Ikertzaileen arabera, hor dago hain zuzen ahultasuna. Tokiko Git erabiltzean kodea Azure App Service-ra zabaltzeko, git biltegia denek atzitu dezaketen direktorio publiko batekin konfiguratu zen.

Hainbat kode hizkuntza kaltetuak

Batez ere PHP, Python, Ruby edo Node-n idatzitako iturburu-kodea zaurgarria da. Hau da, neurri batean, kode-lengoaia hauek askotan Apache, Nginx eta Flask bezalako web zerbitzariak erabiltzen dituztelako. Web zerbitzari hauek ezin dituzte web.config fitxategiak kudeatu. Horrek iturburu-kodeen biltegietara sarbide publikoa ahalbidetzen du.

Microsoft-ek ezaguna

Wiz-eko segurtasun espezialistek aurtengo urriaren hasieran jada jakinarazi zioten Microsoft-i ahultasunaren berri. Microsoftek itxi egin du geroztik. Nolanahi ere, adituek erabiltzaileei eskatzen diete iturburu kodea agerian ote den egiaztatzeko eta beren aplikazioetarako neurriak hartzeko.