Vulnérabilité NotLegit Azure App Service rend le code source public

Le spécialiste de la sécurité Wiz met en garde contre une vulnérabilité dans Azure App Service de Microsoft. La vulnérabilité expose des centaines de référentiels de code source. Microsoft a depuis corrigé la fuite.

Wiz a découvert la vulnérabilité dite NotLegit dans Azure App Service. Le service, également connu sous le nom Azure Web Apps, est une plate-forme d'hébergement de sites Web et d'applications Web. Le code source et les artefacts peuvent être téléchargés sur Azure App Service à l'aide de l'outil Git local. Les utilisateurs peuvent configurer un référentiel Git local avec le conteneur Azure App Service et envoyer le code directement au serveur.

Selon les chercheurs, c'est précisément là que réside la vulnérabilité. Lors de l'utilisation de Local Git pour déployer le code vers Azure App Service, le référentiel git a été configuré avec un répertoire accessible au public auquel tout le monde peut accéder.

Plusieurs langages de code concernés

Surtout le code source écrit en PHP, Python, Ruby ou Node est vulnérable. C'est en partie parce que ces langages de code utilisent souvent des serveurs Web tels qu'Apache, Nginx et Flacon. Ces serveurs Web ne peuvent pas gérer les fichiers web.config. Cela permet un accès public à ces référentiels de code source.

Connu de Microsoft

Les spécialistes de la sécurité de Wiz ont déjà informé Microsoft de la vulnérabilité début octobre de cette année. Microsoft l'a fermé depuis. Dans tous les cas, les experts exhortent les utilisateurs à vérifier si leur code source a été révélé et à prendre des mesures pour leurs applications.