Tietoturvaasiantuntija Wiz varoittaa Microsoftin Azure App Servicen haavoittuvuudesta. Haavoittuvuus paljastaa satoja lähdekoodivarastoja. Microsoft on sittemmin korjannut vuodon.
Wiz löysi niin kutsutun NotLegit-haavoittuvuuden Azure App Servicestä. Palvelu, joka tunnetaan myös nimellä Azure Web Apps, on alusta verkkosivustojen ja verkkopohjaisten sovellusten isännöintiin. Lähdekoodi ja artefaktit voidaan ladata Azure App Serviceen käyttämällä Local Git -työkalua. Käyttäjät voivat perustaa Local Git -tietovaraston Azure App Service -säilön avulla ja työntää koodin suoraan palvelimelle.
Tutkijoiden mukaan haavoittuvuus piilee juuri tässä. Käytettäessä paikallista Gitiä koodin julkaisemiseen Azure App Serviceen, git-tietovarasto määritettiin julkisesti käytettävällä hakemistolla, jota kaikki voivat käyttää.
Useat koodikielet vaikuttavat
Erityisesti PHP-, Python-, Ruby- tai Node-kielillä kirjoitettu lähdekoodi on haavoittuvainen. Tämä johtuu osittain siitä, että nämä koodikielet käyttävät usein verkkopalvelimia, kuten Apache, Nginx ja Flask. Nämä verkkopalvelimet eivät voi käsitellä web.config-tiedostoja. Tämä mahdollistaa julkisen pääsyn mainittuihin lähdekoodivarastoihin.
Microsoftin tiedossa
Wizin tietoturvaasiantuntijat ilmoittivat Microsoftille haavoittuvuudesta jo tämän vuoden lokakuun alussa. Microsoft on sittemmin sulkenut sen. Joka tapauksessa asiantuntijat kehottavat käyttäjiä tarkistamaan, onko heidän lähdekoodinsa paljastettu, ja ryhtymään toimiin sovellusten hyväksi.