A Wiz biztonsági szakértő a Microsoft Azure App Service biztonsági résére figyelmeztet. A biztonsági rés több száz forráskód-tárat fed fel. A Microsoft azóta javította a szivárgást.
A Wiz felfedezte az úgynevezett NotLegit biztonsági rést az Azure App Service-ben. A szolgáltatás, más néven Azure Web Apps, egy platform webhelyek és webalapú alkalmazások tárolására. A forráskód és a melléktermékek feltölthetők az Azure App Service szolgáltatásba a Local Git eszközzel. A felhasználók beállíthatnak egy Local Git-tárat az Azure App Service-tárolóval, és közvetlenül a kiszolgálóra küldhetik a kódot.
A kutatók szerint éppen ebben rejlik a sebezhetőség. Amikor a Helyi Git használatával terjesztette ki a kódot az Azure App Service-be, a git-tárat egy nyilvánosan elérhető címtárral állította be, amelyhez mindenki hozzáférhet.
Több kódnyelv érintett
Különösen a PHP, Python, Ruby vagy Node nyelven írt forráskódok sebezhetőek. Ennek részben az az oka, hogy ezek a kódnyelvek gyakran használnak olyan webszervereket, mint az Apache, az Nginx és a Flask. Ezek a webszerverek nem tudják kezelni a web.config fájlokat. Ez lehetővé teszi a nyilvános hozzáférést az említett forráskód-tárolókhoz.
Ismert a Microsoft számára
A Wiz biztonsági szakemberei már idén október elején értesítették a Microsoftot a sérülékenységről. A Microsoft azóta bezárta. A szakértők mindenesetre arra kérik a felhasználókat, hogy ellenőrizzék, felfedték-e a forráskódjukat, és tegyenek lépéseket alkalmazásaik érdekében.