Le spécialiste de la sécurité Wiz met en garde contre une vulnérabilité dans Azure App Service de Microsoft. La vulnérabilité expose des centaines de référentiels de code source. Microsoft a depuis corrigé la fuite.
Wiz a découvert la soi-disant vulnérabilité NotLegit dans Azure App Service. Le service, également connu sous le nom d'Azure Web Apps, est une plate-forme d'hébergement de sites Web et d'applications Web. Le code source et les artefacts peuvent être chargés sur Azure App Service à l'aide de l'outil Git local. Les utilisateurs peuvent configurer un référentiel Git local avec le conteneur Azure App Service et transmettre le code directement au serveur.
Selon les chercheurs, c'est précisément là que réside la vulnérabilité. Lors de l'utilisation de Git local pour déployer le code sur Azure App Service, le référentiel git a été configuré avec un répertoire accessible au public auquel tout le monde peut accéder.
Plusieurs langages de code concernés
Le code source écrit en PHP, Python, Ruby ou Node est particulièrement vulnérable. C'est en partie parce que ces langages de code utilisent souvent des serveurs Web tels qu'Apache, Nginx et Flask. Ces serveurs Web ne peuvent pas gérer les fichiers web.config. Cela permet un accès public auxdits référentiels de code source.
Connu de Microsoft
Les spécialistes de la sécurité de Wiz ont déjà informé Microsoft de la vulnérabilité début octobre de cette année. Microsoft l'a depuis fermé. Dans tous les cas, les experts exhortent les utilisateurs à vérifier si leur code source a été révélé et à prendre des mesures pour leurs applications.