متخصص امنیت Wiz نسبت به وجود آسیب پذیری در سرویس Azure App مایکروسافت هشدار می دهد. این آسیب پذیری صدها مخزن کد منبع را در معرض دید قرار می دهد. مایکروسافت از آن زمان این نشت را اصلاح کرده است.
Wiz آسیب پذیری موسوم به NotLegit را در سرویس Azure App کشف کرد. این سرویس که با نام Azure Web Apps نیز شناخته می شود، بستری برای میزبانی وب سایت ها و برنامه های مبتنی بر وب است. کد منبع و مصنوعات را می توان با استفاده از ابزار Local Git در سرویس Azure App آپلود کرد. کاربران می توانند یک مخزن Local Git با ظرف سرویس Azure App راه اندازی کنند و کد را مستقیماً به سرور فشار دهند.
به گفته محققان، این دقیقا همان جایی است که آسیب پذیری نهفته است. هنگام استفاده از Local Git برای ارائه کد به سرویس Azure App، مخزن git با یک فهرست راهاندازی شده بود که برای عموم قابل دسترسی است که همه میتوانند به آن دسترسی داشته باشند.
چندین زبان کد تحت تأثیر قرار گرفته است
به خصوص کد منبع نوشته شده در PHP، Python، Ruby یا Node آسیب پذیر است. این تا حدی به این دلیل است که این زبان های کد اغلب از سرورهای وب مانند Apache، Nginx و Flask استفاده می کنند. این وب سرورها نمی توانند فایل های web.config را مدیریت کنند. این امکان دسترسی عمومی به مخازن کد منبع ذکر شده را فراهم می کند.
برای مایکروسافت شناخته شده است
متخصصان امنیتی Wiz قبلاً مایکروسافت را از این آسیبپذیری در ابتدای اکتبر سال جاری مطلع کردند. مایکروسافت از آن زمان آن را بسته است. در هر صورت کارشناسان از کاربران می خواهند که بررسی کنند که آیا کد منبع آنها فاش شده است و برای برنامه های خود اقدام کنند.