O especialista en seguridade Wiz advirte dunha vulnerabilidade no Azure App Service de Microsoft. A vulnerabilidade expón centos de repositorios de código fonte. Microsoft xa parcheou a filtración.
Wiz descubriu a chamada vulnerabilidade NotLegit en Azure App Service. O servizo, tamén coñecido como Azure Web Apps, é unha plataforma para hospedar sitios web e aplicacións baseadas na web. O código fonte e os artefactos pódense cargar en Azure App Service mediante a ferramenta Local Git. Os usuarios poden configurar un repositorio de Git local co contedor de Azure App Service e enviar o código directamente ao servidor.
Segundo os investigadores, aquí é precisamente onde reside a vulnerabilidade. Ao usar Local Git para lanzar o código ao servizo de aplicacións de Azure, o repositorio de git configurouse cun directorio accesible ao público ao que todos poden acceder.
Varios idiomas de código afectados
Especialmente o código fonte escrito en PHP, Python, Ruby ou Node é vulnerable. Isto débese en parte a que estas linguaxes de código adoitan usar servidores web como Apache, Nginx e Flask. Estes servidores web non poden xestionar ficheiros web.config. Isto permite o acceso público a devanditos repositorios de código fonte.
Coñecido por Microsoft
Os especialistas en seguridade de Wiz xa informaron a Microsoft da vulnerabilidade a principios de outubro deste ano. Microsoft xa o pechou. En calquera caso, os expertos instan aos usuarios a comprobar se o seu código fonte foi revelado e a tomar medidas para as súas aplicacións.