Stručnjak za sigurnost Wiz upozorava na ranjivost u Microsoftovoj usluzi Azure App Service. Ranjivost otkriva stotine spremišta izvornog koda. Microsoft je otad zakrpio curenje.
Wiz je otkrio takozvanu NotLegit ranjivost u Azure App Service. Usluga, također poznata kao Azure Web Apps, platforma je za hosting web stranica i web aplikacija. Izvorni kod i artefakti mogu se prenijeti na uslugu Azure App pomoću alata Local Git. Korisnici mogu postaviti lokalno Git spremište s Azure App Service spremnikom i poslati kod izravno na poslužitelj.
Prema istraživačima, upravo tu leži ranjivost. Kada koristite Lokalni Git za uvođenje koda na Azure App Service, git spremište je postavljeno s javno dostupnim direktorijem kojem svi mogu pristupiti.
Pogođeno je nekoliko kodnih jezika
Osobito je ranjiv izvorni kod napisan u PHP-u, Pythonu, Rubyju ili Nodeu. To je dijelom zato što ovi jezici koda često koriste web poslužitelje kao što su Apache, Nginx i Flask. Ovi web poslužitelji ne mogu rukovati datotekama web.config. To omogućuje javni pristup navedenim spremištima izvornog koda.
Poznato Microsoftu
Stručnjaci za sigurnost u Wizu već su početkom listopada ove godine obavijestili Microsoft o ranjivosti. Microsoft ga je od tada zatvorio. U svakom slučaju, stručnjaci pozivaju korisnike da provjere je li njihov izvorni kod otkriven i da poduzmu mjere za svoje aplikacije.