Spesialis keamanan Wiz memperingatkan kerentanan di Layanan Aplikasi Azure Microsoft. Kerentanan mengekspos ratusan repositori kode sumber. Microsoft telah menambal kebocoran tersebut.
Wiz menemukan apa yang disebut kerentanan NotLegit di Azure App Service. Layanan, juga dikenal sebagai Azure Web Apps, adalah platform untuk hosting situs web dan aplikasi berbasis web. Kode sumber dan artefak dapat diunggah ke Azure App Service menggunakan alat Git Lokal. Pengguna dapat mengatur repositori Git Lokal dengan wadah Azure App Service dan memasukkan kode langsung ke server.
Menurut para peneliti, justru di sinilah letak kerentanannya. Saat menggunakan Git Lokal untuk meluncurkan kode ke Layanan Aplikasi Azure, repositori git disiapkan dengan direktori yang dapat diakses publik yang dapat diakses semua orang.
Beberapa bahasa kode terpengaruh
Terutama kode sumber yang ditulis dalam PHP, Python, Ruby atau Node rentan. Hal ini antara lain karena bahasa kode ini sering menggunakan server web seperti Apache, Nginx dan Flask. Server web ini tidak dapat menangani file web.config. Ini memungkinkan akses publik ke repositori kode sumber tersebut.
Dikenal oleh Microsoft
Spesialis keamanan di Wiz telah memberi tahu Microsoft tentang kerentanan pada awal Oktober tahun ini. Microsoft telah menutupnya. Bagaimanapun, para ahli mendesak pengguna untuk memeriksa apakah kode sumber mereka telah terungkap dan mengambil tindakan untuk aplikasi mereka.